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Biztonság kívuül-belul 


, 
ltalában igaz, hogy sokat 
foglalkozunk a biztonsággal. 
Egyszerű az indok: nagyon 


fontos ez a témakör. E hónapban ráte- 
szünk még egy lapáttal, és körbeszag- 
lásszuk a jelszavakat, az azonosítást, 

a titkosítást (sőt, még a tar egy olyan 
változatára is kitérünk, mely titkosítja 

a tárolandó fájlokat), valamint a tűzfalak 
témakörét (egy cikk erejéig igyekszünk 
összeállítani egy kezdetleges, Netfilteren 
alapuló tűzfalat). Ha van egy kis szabad- 
időd, kedves olvasó, hasonlítsd össze 

az amerikai és a magyar szerzők cikkeit! 
Például Bruce Byfield a 36. oldalon ír a 
jelszavakról általában, és kitér a PAM-ra. 
Mátó Péter cikkében is szóba kerül a 
PAM, igaz kicsit más szemszögből. Vagy 
ott van a GPG, amelyről Mick Bauer 
közöl egy cikket a 42. oldaltól, majd 
szintén előkerül Varga Csaba írásában, 
ahol a Mutt levelezőprogram kerül 
terítékre. 

Szóval titkosíthatunk, biztonságossá 
tehetünk bármit. Csak nehogy úgy 
járjunk, ahogy én szoktam, nevezetesen, 
hogy a jelszót másnapra elfelejtem, és az 
anyag onnantól kezdve a teljesen titkos 
kategóriába kerül. lalálkoztam már 
olyan rendszergazdákkal is, akik saját 
maguknak küldözgettek levelet, , akkor 
biztos nem felejtem el" felkiáltással. 

Ez sem rossz módszer, de a jelszavakat 
tartalmazó leveleket megint csak titko- 
sítani kell, ugye. 

De lépjünk tovább. A múlt hónapban 
írtam, hogy mennyire fontosnak tartom, 
hogy a nyílt és a szabad programok 
követői összefogjanak. Az írás kapcsán 
számos véleményt kaptam, természe- 
tesen akadtak köztük rosszalló levelek: 
,miért kellene szeretnünk a mások 
munkájából meggazdagodó ingyené- 
lőket , illetve , miként képzeled, hogy 
pénzt tudok keresni, ha ingyen adom 

a programon", és így tovább. Időközben 
volt szerencsém egy hosszabb riportot 
készíteni Sebastien Blondeel-lel, az FSF 
franciaországi részlegének egyik kiemel- 
kedő alakjával (10. oldal), akinek záró 
gondolatát mindenkinek szíves figyel- 
mébe ajánlom! 

De akad más nagyon izgalmas hír is! 

Az LME épphogy kezdett magára 
találni, máris komoly döntés elé állítot- 
ták. Történt ugyanis, hogy megjelent 
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egy hír, miszerint a Microsoft és a 
Miniszterelnöki Hivatal között megálla- 
podás jött létre, a MeH a Microsoftnak 
nagy kalap pénzt fizet, ezért cserébe a 
diákok ingyen használhatják a Microsoft 
termékeit. Erről gyorsan kiderült, hogy 
nem egészen így van. A Microsoft 
honlapján, a Sajtóközlemények alatt 
jelent meg 3 http://www.microsoft.com/ 
hun/news/default.asp? Iype— DockSubP 
age—010920 edu (a közzé tételétől 
azonban el kellett tekintenünk, ugyanis 
még a sajtóközlemény alatt is az szere- 
pel, hogy csak akkor tölthető le, ha 

a mellékelt szerződést -— ez több oldalt 
tenne ki — is megjelentetnénk és a teljes 
szöveget közölnénk, valamint ha kizáró- 
lag tájékoztatási célból, szigorúan 

csak személyes használatra szeretnénk 
letölteni. ..), hogy mégsem ingyen 

és nem mindet. 

Akkor mi is a megállapodás lényege? 

A felsőoktatásban résztvevő hallgatók 
és oktatók a megállapodás tárgyát 
képező termékeket tanulási célra hasz- 
nálhatják. Ehhez egy Campus szerző- 
dést kell kötni, ennek keretén belül 

a Microsoft hitelesített viszonteladója 
kedvezményes vásárlási díjat ajánl fel 

a vásárlónak. Nem arról van szó tehát, 
hogy a MeH óriási összeget fizetett, 

és ezért cserébe a hallgatóknak és okta- 
tóknak egy évig nem kell félniük a BSA 
fenyegetésétől. Inkább arról, hogy 
bizonyos termékek oktatási változatát 
kedvezményesen vásárolhatják meg. 
Az óriásvállalat egyébként éves szinten 
egymilliárd forintot kér, az első év költ- 
ségeit a MeH állja, a további két évben 
pedig a MeH és az Oktatásügyi Minisz- 
térium közösen fizeti. Az MII honlapján 
megjelent változat szerint is ingyen 
juthatnak a termékekhez az oktatók és 
a diákok. Mások attól félnek, hogy így 
a Microsoft egy olyan címlistát gyűjt 
össze, amellyel azután bármilyen fejva- 
dász vagy reklámcég igényét ki tudja 
elégíteni. Szóval a helyzet zavaros. 

Az LME is közzétett egy nyilatkozatot 
-— a Magyarországi BSD Egyesülettel 
közösen -—, ezt a 14. oldalon mi is 
megjelentetjük. 

Engem leginkább egyik olvasónk véle- 
ménye gondolkodtatott el, aki azt írta, 
hogy ez a lépés a Microsoft számára 
több szempontból is piaci helyzetének 


megerősödését jelenti, hiszen biztosítja, 
hogy oktatási termékeket vásároljanak 
(számos rendszer esetén ingyenes az 
oktatási változat), így további bevételhez 
jut (az éves egymilliárd mellett). Más- 
részt pedig annak feltételeit is megte- 
remti, hogy az oktatás a lehető legna- 
gyobb arányban MS-termékeken 
folyjon, ez pedig hosszútávon azt ered- 
ményezi, hogy a pár év múlva végző 
diákok továbbra is csak az óriásvállalat 
termékeihez értenek majd. 

Akárhogy is nézzük, egy történetnek 
mindig legalább két oldala van. Ha arra 
gondolunk, hogy a MeH már több 
olyan pályázatot és tervet is támogatott, 
ami egyértelműen a nyílt és szabad 
rendszerek mellett foglalt állást, feltéte- 
lezhetjük, hogy a jó szándék vezérelte 
őket ebben az esetben is. Remélem, 
hogy sikerül a MeH oldaláról egy 
illetékes munkatárssal riportot készí- 
tenünk, és tisztáznunk minden kérdést. 
Tőled, kedves olvasó, azt kérem, ha 
akad olyan gondolatod, kérdésed, 
melyet a témában szívesen megosztanál 
mindenkivel, írd meg nekem! 

E bonyodalmas téma után levezetőként 
evezzünk boldogabb vizekre! 

A GNULinux-rendszerek egyre több 
helyen bizonyítják, hogy az üzleti 
életben is megállják helyüket. E hónap- 
ban Kósa Attila egy állami intézménybe 
kalauzol el bennünket, ahol az informa- 
tikai részleg meglepően értelmes és 
előrelátó döntésekkel már hosszú évek 
óta használja a szabad rendszereket. 

A Vas Megyei Bíróságról van szó. 

Ezt az érdekes és tanulságos cikket 

a 18. oldalon olvashatjuk. 

Bár az, hogy milyen Linux-változat 
kerüljön az ügyfélgépekre, mindig is 
komoly vitát jelentett. Mindenesetre 
érdemes minél több rendszert megis- 
merni. E hónapban a Mandrake Linux 
új, 8.1-es változatáról írunk, amely 
megtalálható lemezmellékletünkön is. 
Kellemes linuxozást kívánok! 


Szy György 

a Linuxvilág 
főszerkesztője, a Kiskapu 
Kiadó vezetője. Mindenki 
véleményét és levelét 
örömmel várja az alábbi 
levélcímen: Szy.GyorgyOlinuxvilag.hu 








A LILO és korlátai 


Az előző számunkban megjelent Gumimatraccal vagy légyku- 
kaccal indítsuk a Linuxot? című írásunkban benn maradt egy 
hiba a LILO-val kapcsolatban, amelyre Lakos Imre hívta fel 
szerzőnk és természetesen a mi figyelmünket is. Levelét az 
alábbiakban teljes terjedelemben közöljük: 

Feladó: Lakos Imre 3 lakosimi(ofreemail.hu 

Címzett: 3 ratiosoftaofreemail.hu 


Tárgy: Gumimatractúra 


Tisztelt Szaló István! 

Szeretettel meghívom egy gumimatractúrára. Nem, nem kell 
sehova sem elutaznia, csak itt helyben maradunk a gép előtt, 
ez is elég! Örömmel fogadtam cikkét a Linuxvilág szeptemberi 
számában, és érdeklődéssel olvastam a GRUB-ról írt sorokat, 
melyben a LILO-ról is ejtett néhány szót. Ez az, ami arra 
indított, hogy billentyűzetet , ragadjak" . 

A LILO, ez a jó kis öreg program, mely egy maroknyi csapat- 
nak hála — Werner Almesberger-rel az élen — napról napra meg- 
újul. Majdhogynem azt mondhatom: két dolog miatt (bár 
több oka is van) választottam, illetve maradtam a LILO-nál: 

1. Nem szükséges megadni a mem-256M sort a /etc/ilo.conf-ban. 
2. Akár a 2030. cilindertől is lehet indítani a Linux-rendszert. 
Nem, nincs itt szó semmilyen félreértésről! Nem is valamilyen 
szándékos kötözködés indított, csak az 1024. cilinder alatti 
időszaknak rég vége! 

Amikor megjelent a Linux című könyv újabb , átdolgozott(?), 
javított" kiadása, én már akkor jeleztem a kiadónak, hogy 
ugyan már, ne poroljuk le ezt a régi dolgot és ne vegyük elő 
újra! Ezzel együtt a többi hiba kijavítására is megkértem őket, 
illetve a lapjukban egy , hibajavítás" megjelentetésére, de erre 
azóta sem került sor. 

lehát itt mellékelném a merevlemezem felosztási táblájáról 
(partition table) származó adatfájlt. Íme: 


Disk /dev/hda: 255 heads, 63 sectors, 2482 
cylinders 

Units - cylinders of 16065 ?Y 512 bytes 

Device Boot Start End Blocks Id 
System 

/dev/hdal " 1 4 320981 83 Linux 
/dev/hda2 5 820 6554520 83 Linux 
/dev/hda3 821 951 1052257£ 83 Linux 
/dev/hda4 952 2482 12297757-4 5 Extended 
/dev/hda5 952 1082 1052226 83 Linux 
/dev/hda6 1083 1898 65544881t 83 Linux 
/dev/hda7 1899 2029 1052226 83 Linux 
/dev/hda8 2030 2482 3638691 83 Linux 


Ez egy 20 GB-os Ouantum Lct20-as merevlemez. A /dev/hda8-as 
lemezterületen szoktam az új Linux-terjesztéseket kipróbálni, 
és itt található a /boot könyvtár és a rendszermag is. 

A /dev/hda1-es lemezterület kizárólag a Reiser FS használatához 
lett kialakítva, mivel a LILO nem szerette, ha Reiser FS-sel 
,kezdődik" a merevlemez, emiatt valahogy nem minden eset- 
ben írta be az új LILO-bejegyzést. 

És itt van az említett lemezterületről a /etc/fstab fájl: 


/dev/hda8 /reiserfs defaults 1 1 

/dev/hdo. /cdrom auto ro, noauto, user,exec 0 0 
/dev/fdo  /floppy —" auto noauto, user Ü.ű 
pród ásás proc defaults 0 0 


H End of YaSI-generated fstab lines 
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A titok nyitja továbbá a /etc/lilo.conf fájl egy részlete: 
H Ez a LILO konfigurgci s fZXjl 

Ti 

H Figyelem! Az append-"mem-256MB" opci 
H a 2.2.16-os rendszermagig kell!!! 


tt 


csak 


H"-rxr A YAST-tal ne piszk£lj bele, mert 

H  sszekavarja!l! §rr 

ti 

H Csak a "H" karaktert kell eltgvol tanod, Os 


H a lilo parancsot lefuttatnod, Os mísk dik az 
t ejabb opci 

Hrestricted ?H Csak single user m dban kör 

H jelsz t ezzel az opci val. 
Happend-"mem-256M" tHezt itt is hozzX£g lehet 


H adni, ha kell. LEsd fent! 
boot-/dev/hda 
Htcompact H "gy gyorsabb az ind tEs, de nem 


H mísk dik minden rendszeren, 

H ős tk zik az 1ba32 opci val. 

Hvga-ASK H?H VESA m dban indul, s megadhat , 
t pl.: 0301-es opci (640 480) 

H vagy akEr mEs felbont£s is vElaszthat 
Hvga-0x312  tH Ezzel mindig 640 480-as 

H felbontEsban 32 bit sz nmölysöggel indul. 
1ba32 

H Ezzel mg a 2330. 
H ind tanicc!! 
message-/boot/message 


cilinder f 1 1 is lehet 


read-only 

prompt 

timeout-150 

default-Xwindow 

menu-title-" dv zli a SuSE Linux 7.1" 

H Felirat a LILO ablak£gban (DOS karaktertzbla) 
H End LILO global Section 

H A grafikus bejelentkezi fel lettel indul. 


image - /boot/linuxScsi 
root - /dev/hda8 
label - Xwindow 
append-"5" 
H CD-lemez rXEsa SCSI-emulkci val. 
image - /boot/linuxScsi 
root - /dev/hda8 
label - CD rEs 
append-"1 hdc-ide-scsi" 
vga-0x312 


H Floppyr l ind tunk. 


other - /dev/floppy 
label - Floppy 
unsafe 
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lehát ez egy (az említett lemezterületen) használatban lévő fájl, 
amelyet jegyzetekkel láttam el, mivel másokra is gondoltam, 
azokra, akiknek feltettem a Linuxot. 

Elérkeztünk gumimatractúránk végére. Nem vagyok egy 
szőrszálhasogató típus, viszont szeretem a pontosságot. 
További jó munkát kívánok! 

Üdvözlettel: Lakos Imre 

Köszönjük az észrevételeket! 


2001. október J 
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Programvadászat 


Mandrake Linux 8.1 


lvasóink e havi CD-mellékle- 

tünkön a Mandrake Linux 

legfrissebb változatát találhat- 
ják. Ez a rendszer érdemli meg legin- 
kább a , felhasználóbarát" jelzőt. Mellőzi 
az összes olyan , félmegoldást", amit a 
fejlesztők a felhasználóbarát kiszolgá- 
lókba azzal a címszóval építenek be, 
hogy mindenki kedve szerint használ- 
hatja akár kiszolgálóként, akár munkaál- 
lomásként. A Mandrake kifejezetten 
munkaállomás, magyar nyelvű telepí- 
tője pedig elég fejlett ahhoz, hogy az is 
elboldoguljon vele, aki először találkozik 
Linux operációs rendszerrel. A rendszer 
beállítása is nagyon egyszerű. Memória- 
igénye elég nagy, a számos cirkalmas 
szolgáltatást látva azonban érthető, 
hogy miért is lassabb ugyanazon a gé- 
pen, amelyen a Debian-rendszer 
könnyedén és zökkenőmentesen fut. 
Nagyon sok olvasói levelet és telefont 
kapok a , melyik Linuxot válasszam?" 
kérdéssel kapcsolatban. A saját tapasz- 
talataim alapján csupán azt tudom java- 
solni: otthoni gépnek mindenképpen 
a Mandrake-et, kiszolgálónak pedig a 
Debiant választanám. Ezzel természe- 
tesen vitába lehet szállni, de mindenki- 
nek megvan a saját kívánságlistája, így 
hangsúlyozom, ez csupán az én vélemé- 
nyemet tükrözi. Biztosan akadnak olya- 
nok is, akinek a SuSE, esetleg a RedHat 
vagy bármely más Linux-terjesztés 
a kedvence, én mindenütt mindenre 
Debiant használok. Arra azonban min- 
denkinek felhívom a figyelmét, hogy 
mindenkor a feladat szabja meg, milyen 
Linuxot válasszunk. 


Milyen is a Mandrake valójában? 
Nos, szerintem könnyűszerrel telepít- 
hető, beállítható és használható rend- 
szer. A Linuxszal éppen csak ismerke- 
dőket nem nehéz elriasztani, ugyanak- 
kor az új rendszert könnyedén megg is 
lehet szerettetni. Debian-telepítés köz- 
ben egy avatatlan szemlélő azt mondta, 
hogy kíváncsi lenne, az agyam hány 
százalékát foglalják el a különböző 
varázsszavak, amelyekkel életet lehelek 
a rendszerbe. A Mandrake Linuxnál 
erről egyáltalán nincs szó, itt minden 
egérkattintással és néhány billentyű 
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lenyomásával , elintézhető". A teljes 
telepítés mindössze tizenöt percet vett 
igénybe, a hálózat, a nyomtató és az 

X beállításával együtt. Miután újraindí- 
tottam a gépemet, máris kellemes grafi- 
kus környezetben találtam magam. A me- 
nük és az egész felület szinte teljesen 





KE Trees 
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magyarul szól hozzánk, így még a 
kezdő angoltudással sem rendelkezők 
is játszi könnyedséggel eligazodhatnak 
az ,új" felületen. Mivel a gépem hátul- 
jából egy Matrox G450-es grafikus kártya 
két feje kukucskál ki, gondoltam, kipró- 
bálom, milyen is a xinerama és a két 
különálló munkafelület. Kellemes él- 
ményként említem ismét az egérkattint- 
gatást, mert a beállítások egy perc múlva 
már működtek is. A xinerama-beállítás- 
ként valójában egy 2048 x768-as képer- 
nyőt kaptam, amelyen a programokat 
egyikről a másikra vontathattam. A ké- 
peken látható, hogy míg az egyik kép- 
ernyőn gimpeltem, a másikon szöveget 
szerkesztettem. A 3D-beállítást a beál- 
lítási programban választhatjuk ki (aki 
játszani szeretne, mindenképpen ezt 
válassza!). Azt azonban nem tudtam 
beállítani, hogy az egyik monitoron más 
felbontásban és más frissítéssel működ- 


jön a grafikus felület. Ezután nekiálltam 
a hálózatban a megosztott könyvtárak 
feltérképezésének, ez is sikerült, úgy- 
hogy a könyvtárszerkezetbe a sambás 
megosztások is bekerültek. 

Mindent összevetve egy nagyon össze- 
fogott és kellemes rendszer lett a 8.1-es 
Mandrake. Mindenkinek ajánlom, aki 
még csak most kezd Linuxszal foglal- 
kozni, sőt még azok számára is, akik már 
letették a szavazatukat valamely másik 
Linux mellett. Egyedüli zavaró hibája- 
ként az róható fel, hogy nálam a 
csomagkezelőben az internetes forrás 
kiválasztása nem működött. 

A Mandrake telepítéséről és beállításáról 
az 74. oldalon kezdődő írásunkban 
olvashatnak. 





A rendszerben egyszerű felhasználóként 
nem tehetünk meg mindent, ami termé- 
szetesen rendjén is van, hiszen rend- 
szergazdánk valószínűleg a haját tépné, 
ha rendszerünket naponta kellene büty- 
kölnie, mert mi azt találtuk mondani: 
,csak úgy kipróbáltam ezt meg azt!" . 

Ez nem áll az otthoni rendszerekre, mert 
ott valószínűleg ismerjük a rendszer- 
gazda (root) jelszavát, tehát szabadon 
garázdálkodhatunk benne. 

Az erre alkalmas eszközök egyike a 
Vezérlőközpont (Control Center 3. kép) 

— a munkafelületre kattintva előugrik 
egy ablak (4. kép), ahol meg kell adnunk 
a rendszergazda jelszavát, és ha ezen 
sikeresen túljutottunk, a Vezérlőközpont 
barátságos felülete jelenik meg. 
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Nézzük, mit is lehet innen , vezérelni ! 
Az első menüpont a Rendszerindítás, 
ahol indítólemezt készíthetünk frissen 
telepített rendszerünkhöz, beállíthatjuk 
a rendszerindításhoz használt progra- 
mot (LILO/GRUDB), az induláskor meg- 
jelenő kinézetet, továbbá az X rendszer 
önműködő indítását. Ha szeretnénk, 
egy olyan felhasználót is megadhatunk, 
aki az alapértelmezett bejelentkező lesz, 
így nem kell a felhasználó nevének és 
jelszavának begépelésével bajlódni 





(kényelmes megoldás ugyan, de én nem 
ajánlom, mivel ha egynél több ember 
használja ugyanazt a gépet, az adatok 
és egyéb személyes anyagaink szabad 
prédának bizonyulhatnak mindenki 
számára). Végül pedig önműködő tele- 
pítőlemezt készíthetünk, amelyen rend- 
szerünk beállításait tárolhatjuk (így 
készíthetünk másolatokat Mandrake 


Linuxunkról). 

A következő menüpont a Hardver 

(6. kép), itt állíthatjuk be agépünkben 
található alkatrészeket. Először az 

X beállítását tudjuk finomhangolni. 

A Hardver almenüben megnézhetjük, 
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milyenek is a gépünkben lévő alkatré- 
szek. Az Egér-nél mutatóeszközünket 
tudjuk kezessé tenni, továbbá lehetősé- 
günk nyílik a Nyomtató, a Billentyűzet 
és a Csatlakoztatási pontok (betűzési 
pontok) beállítására is. Nagyon kellemes 
szolgáltatás a Samba önálló megosztás- 
keresője, amely az összes megosztást 
hibátlanul felismerte, így könnyűszerrel 
használatba vehettük őket. 





Lássuk, mit is csinálhatunk a Hálózat 

és Internet menüben. A Kapcsolat alme- 
nüben varázsló segítségével tudjuk 

a gépünkhöz csatlakoztatott összes háló- 
zati eszközt beállítani, amelyek hagyo- 
mányos modemes, ISDN, ADSL, kábeles 
vagy helyi hálózati kapcsolatok lehet- 
nek. A Kapcsolatmegosztás-nál pedig 
rendszerünk hálózati erőforrásait 
oszthatjuk meg a többi számítógéppel. 
A beállítás után rendszerünk DHCP 
segítségével képes címet osztani. 

A Biztonság szintén testreszabható (vala- 
milyen mértékben) a Vezérlőközpontból. 
A Biztonsági szint beállításánál a követ- 
kezőket olvashatjuk: Válassza ki a biz- 
tonsági szintet! 

Alacsony -— ezen a szinten néhány biz- 
tonsági kiegészítés lép életbe, több a 
biztonsági ellenőrzés és a figyelmeztetés. 
Közepes - ezt a biztonsági szintet java- 
soljuk, ha a gép ügyfélként csatlakozik 
az Internethez. A biztonsági ellenőrzé- 
sek életbe lépnek. 

Magas - ezzel a biztonsági szinttel hasz- 
nálhatjuk gépünket kiszolgálóként. 

Ez a biztonsági szint elég magas ahhoz, 
hogy a rendszer számos, hálózaton ke- 
resztül csatlakozó ügyfelet kiszolgáljon. 
A Tűzfal almenünél a TinyFirewall prog- 
ramot szabhatjuk testre. 


Már csak egyetlen menüpont maradt, 

a Rendszer, ami a következő, feladatuk- 
ról nevükben is sokat eláruló menüpon- 
tokat tartalmazza: Menük, Szolgálta- 
tások, Betűtípusok, Dátum és idő, Szoft- 
verkezelő, Naplók és Konzol. Ezek közül 
csak néhányat tekintünk át. A Szolgálta- 
tások pontnál a rendszer indulásánál 
elindítandó szolgáltatásokat lehet be- 
állítani (ilyen lehet például az Apache, 

a DHCPés az IP Tables). 

A Szoftverkezelő-ben programokat adha- 
tunk hozzá és távolíthatunk el. Remek 
függőségkezeléssel rendelkezik, így ha 
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egy csomagot telepíteni akarunk, ez 
azonban egy olyan másik csomagtól 
függ, amely hiányzik a rendszerünkről, 
akkor azt is telepíti. A Konzol menüpont 
pedig rendszergazdai héjat ad, ahol 
mindenféle építő és romboló kedvünket 
kiélhetjük. 

Ha a megfelelő programcsomag esetleg 
nincs telepítve, a rendszer a megfelelő 
számú CD-lemezt kéri, és pillanatok 
alatt elvégzi a telepítést. 
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Remélem, írásunkkal a kezdő linuxosok 
életét sikerült egy kicsit megkönnyíteni. 
Az egyik felhasználó , támadási felüle- 
tet talált a Mandrake 8.1 devfís megva- 
lósításában. A hiba elhárításáig a gyártó 
azt kéri, hogy devfs-nomount kapcso- 
lóval indítsa mindenki a rendszert. 


Csontos Gyula 
(Csontos.Gyulao 


mai, hír- és CD-szerkesztője. 
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Linux franciául 

Ha valakit a Linux használatától esetleg 
az riasztott el, hogy a legtöbb leírás és 
segítség csak angol nyelven érhető el, 
ugyanakkor ért franciául, annak meg- 
oldást jelenthetnek az alábbi francia 
linuxos oldalak címei. Számos HOGYAN is 
hozzáférhető, tudomást szerezhetünk a 
legfrissebb hírekről, valamint betekintést 
nyerhetünk a francia linuxosok életébe. 
Bár az én francia nyelvtudásom egyenlő 
a nullával, mégis egyszerűen elbolyong- 
tam ezeken az oldalakon, ami számomra 
azt mutatja, hogy a felépítésük logikus 
és jól használható. 





Kellemes vadászatot! 

2 http://glinux.tuxfamily.org/ 

2 http:/www.linux-france.org/article/cesar/ 
2 http:/www.linuxfr.org 


Képkereső a Google-on 

A Google internetes kereső új szolgálta- 
tással bővíti kínálatát, ez a szolgáltatás 
a képkereső. Bármilyen szóra kereshe- 
tünk ugyanúgy, mint más böngészők- 
ben, viszont az eredmény mindenkép- 
pen képi anyag lesz. leljesítményét 

és tudását tekintve igen kiemelkedő: 

a Linuxvilág szóra rákeresve pár ezred- 
másodperc alatt eredményt kaptam. 

A keresési feltételek ugyanúgy működ- 
nek, mintha egyszerű keresést hajta- 
nánk végre. Működnek az ékezetek, 
úgyhogy nyugodtan kereshetünk akár 
árvíztűrő tükörfúrógépeket is. Kellemes 
tulajdonságai között megemlíteném, 
hogyha a képre kattintunk, a kép nem- 
csak egyszerűen megjelenik, hanem 
egy kettéosztott ablakot kapunk felülső 
részében a képpel, az alsó ban pedig 
azzal a honlappal, ahonnan a kép szár- 
mazik. Nagyon kényelmes és hasznos 
szolgáltatásnak tartom azt is, hogy a 
keresési feltételt megőrizvén bármely 
másik keresőrészre kattintva a keresés 
ismét lefut , így egy adott témában 

a weboldalakon, a képek között, a 
hírcsoportokban és a ,könyvtárakban 
is körülnézhetünk. Mindenkinek 
ajánlom a kipróbálását! 

2 http:/images.google.com 
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Védjük hazánkat szabadon! 

A Magyar Honvédség is a Linux operá- 
ciós rendszer mellett döntött. Linuxos 
számítógépekkel támogatja a Minisz- 
terelnöki Hivatal Informatikai Kor- 
mánybiztossága a Magyar Honvédség 
11 helyőrségét. A Miniszterelnöki 
Hivatal összesen 352 számítógépet, 
kabinetenként egy kiszolgálót és egy 
kivetítőt, a szükséges Linux operációs 
rendszert, valamint a kapcsolódó iro- 
daautomatizálási programokat és 

a Microsoft programkörnyezet-felhasz- 
nálási szerződéseit biztosítja. Az okta- 
tókabinetekben, melyek napi 8 órában 
várják a hallgatókat, 12 ezer sorkatona 
tanulhat számítógép-használati 
ismereteket. 

2 http:/www.meh.hu 


PicoGUl 

A világ legkisebb grafikus felülete a 
PicoGUI. Az állítás minden tekintetben 
megfelel a valóságnak, mert mind az 
eszközök, mind a saját méretére is igaz. 
Elsősorban beágyazott rendszerekhez 
és kézi gépek grafikus felületeként hasz- 
nálható. Felépítése nagyon hasonlít az 
X Window rendszeréhez, nagy rugal- 
masságú a kiszolgáló-ügyfél kapcsolat- 
ban, de az X-szel ellentétben a betűk, 





a bittérképek és minden egyéb, amire 
az alkalmazásoknak szükségük lehet, 
be lettek építve a kiszolgálóba. Iermé- 
szetesen ,bőrözhető" , miáltal mindenki 
,kiválaszthatja" a neki tetsző felhasz- 
nálói felületet. Az elf formátumban lévő 
program mérete száz kilobájt körüli. 
Ebben már megtalálható a kiszolgáló, 
továbbá a betűk és minden más adat 

— bár a fordítás számos beállítási lehető- 
sége miatt a méret változhat. A témák 
mérete pedig a bittérképekétől függ, ami 
lehet néhány, de akár több száz kilobájt, 
az Agua téma mérete például húsz kilo- 
bájtnyi. Képes 1x1 képpontos képer- 
nyők kezelésére is, aminek ugyan nem 
sok értelmét látom, de jól jellemzi a 
rendszer rugalmasságát. 

2 http:/www.picogui.org 


Novell-Microsoft per 

A Novell Inc. bejelentette, hogy Salt 
Lake City kerületi bíróságán eljárást kez- 
deményezett a Microsoft Corporation 
ellen, mert az az állami és szövetségi 
törvényeket sértő módon valótlan és 





félrevezető kijelentéseket tett a Novell- 
ről és termékeiről. A Novell intézkedé- 
seket kezdeményez annak érdekében, 
hogy a Microsoft beszüntesse a minden 
alapot nélkülöző és félrevezető állítá- 
sainak terjesztését, valamint helyreigazí- 
tást kér. Továbbá felszólítja a Microsoftot 
a jogsértő reklámozás beszüntetésére. 
Ezenkívül azt szeretnék, hogy a céget 
az okozott károk megtérítésére kötelez- 
zék. A Microsoft valótlanságokra épülő 
és a Novell lejáratását célzó kampánya 
a NetWare 6 megjelenésére adott 
válasznak tűnik. , Megítélésünk szerint 
Magyarországon ilyenre nem kerülhet 
sor, mert mint az minden bizonnyal 
sokak számára emlékezetes, 1997-ben 

a Novell Magyarország fellépett a 
Microsoft Magyarország minden olyan 
hirdetése ellen, amely vitatható volt" 

-— mondta Szittya Tamás, a Novell 
Magyarország ügyvezető igazgatója. 

, E fellépés következményeként a Novell 
Magyarország és a Microsoft Magyar- 
ország között megállapodás jött létre, 
hogy a Microsoft tartózkodni fog a 
magyar piacon a jogsértő reklámtól. 
Például az olyan reklámoktól, amelyek 
akár a Novellt, akár más versenytársat 
mint céget vagy a termékeiket minősí- 
tené. Mivel a Microsoft Magyarország 
ez idáig tartotta magát ehhez a megál- 
lapodáshoz, nem számítunk az ameri- 
kaihoz hasonló eset előfordulására 
Magyarországon." 

A Microsoft hamis kijelentéseit egy 
müzlis dobozhoz hasonló marketing- 
kiadványban juttatta el számos Novell 
vásárlóhoz az Egyesült Államok terüle- 
tén. A terméknév helyén a , Microsoft 
Server Crunch" felirat olvasható, a 
dobozon pedig a következő a Novellt 
érintő kifogásolt állítások szerepeltek: 
,Mikor is jár le a NetWare szavatossága? 
A Cambridge lechnology Partners cég- 





gel történő egyesülés után a Novell a 
programfejlesztés helyett a tanácsadásra 
összpontosít. Olyan kiszolgálófelületet 
használ, melyet a gyártó nem támogat 
teljes mértékben. Ez növekvő költsége- 
ket jelent, mivel a felület gyorsan ela- 
vulttá válik, és időrabló átalakításokat 
tesz szükségessé." 
,A kérdések és állítások minden alapot 
nélkülöznek és félrevezetők" — mondta 
Stewart Nelson, a Novell alelnöke. 
"A Microsoft a NetWare halálhírét költi, 
hogy félelmet és bizonytalanságot kelt- 
sen a Novell vásárlói körében, valamint 
a leendő vásárlók elriasztására törekszik, 
hogy ne Novell-alapokra építsék a rend- 
szerüket. Az amerikai üzleti világ hoz- 
zászokhatott a Microsoft erőszakos üz- 
azonban a Microsoft elvetette a sulykot. 
A Novell-lel, termékeivel és terméktá- 
mogatásával kapcsolatos állítások túl- 
mennek az összehasonlító reklámok 
határain, és véleményünk szerint sértik 
az állami és szövetségi törvényeket." 
A müzlisdoboz-kampány nem az első 
próbálkozás, amellyel a Microsoft 
bizonytalanságot kíván kelteni a Novell 
vásárlóiban és a piac résztvevőiben. Ez 
év áprilisában a Microsoft egy cikket 
tett közzé az MSN Money Centralban 
— ez azután a TheStreet.com webhelyre 
is felkerült —, amely a következőket 
tartalmazta: , A Novell nemrég beje- 
lentette, hogy kilép a szoítverüzletből, 
és tevékenységét a hálózati tanácsadás 
és szolgáltatások területén folytatja." 
A Novell felszólítására a Microsoft 
kénytelen volt módosítani az állításán. 
A NetWare-rendszert érintő tájékoztatás 
és az iparági sajtó NetWare 6 operációs 
rendszerről szóló cikkei a következő 
címeken érhetők el: 
2 http:/www.novell.com/netware6/ 
ext news.html 
2 http:/www.novell.hu/news/ 
2 http:/www.novell.hu 
2 http:/www.novell.com 


$un-újdonságok 

StarOffice 6 próbaváltozat 

Letölthető a StarOffice 6 próbaváltozata. 
Remélem, minél többen le is töltik, és 
ha hibákat észlelnek, értesítik ezekről 

a Sun csapatát is! Így végleges változat- 
ként jó minőségű irodai csomagot 
kapunk majd a Linux (Windows, Sun) 
operációs rendszerre. A csomag szöveg- 
szerkesztőt, táblázatkezelőt, webes kiad- 
ványszerkesztőt és adatbázismodult 
egyaránt tartalmaz. Ha valaki nem 
tudná letölteni, megrendelheti a posta- 
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és az előállítási költség kifizetésével a 
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Ohttp:/www.amazon.com oldalon. 
A Sun nagy erőkkel kezdte meg a 
MacOS X-változat fejlesztését is, ezt 
a munkálatot azonban felfüggesztették. 
Ebben a változatban szerencsére már 
megszabadul- 
tak a beépített 
Start menü- 
től, a levele- 
zőtől, a prog- 
ramok pedig 
külön-külön 
,dolgoznak", meggyorsítva a működést. 
Biztosan sok minden ismerős lesz azok 
számára, akik már használták az 
OpenOffice valamelyik példányát. 
2 http:/www.sun.comjstaroffice/6.Obeta/ 
2 http:/www.sun.comjsoftware/star/ 
staroffice/6.Obeta/get.html 
Solaris 9 EA (Early Access) próbaváltozat 
A Solaris 9 FA (Early Access) próbavál- 
tozat szintén letölthető. A fájlokat az 
unwrap s9ia.sh rparancsfájllal lehet 
összefűzni. 
2 http:/www.sun.comj/software/solaris/ 
programssolaris9ea/ 
2 ftp://ftp.£sn.hu/pub/CDROM-Images/ 
solaris9/ 





Internettanácskozás Tihanyban 

A hazai internetes világ legnagyobb 
szakmai tanácskozását október 24—25-én, 
Tihanyban tartják. , Előreszaladtunk 
vagy lemaradtunk?" a mottója az Inter- 
net Hungary 2001 elnevezésű szakmai 
tanácskozásnak, amelyet az internetes 
szakterületek képviselőinek és a Világ- 
háló felhasználói számára rendeznek 

— jelentette be Csermely Ákos, a konfe- 
rencia rendezőségének társelnöke. 

A kétnapos rendezvényen a résztvevő 
szakemberek és érdeklődők elsősorban 
azokra a kérdésekre keresik a választ, 
hogy a tavalyi találkozó óta milyen 
változások történtek a hazai internetes 
szakmában. Az alábbi kérdéseket szán- 
dékoznak felvetni, amelyre a szakembe- 
rektől várják a feleletet: beigazolódtak-e 
az elmúlt évben megfogalmazott remé- 
nyek és félelmek? Milyen helyet tölt be 
az Internet a gazdaságban? Bekerülhet-e 
Magyarország az információs társadal- 
mak élvonalába vagy behozhatatlan 
lemaradással küszködik? A vállalkozá- 
sok milyen szerepet szánnak a Világhá- 
lónak: munkaeszközt vagy inkább 
kommunikációs csatornát látnak benne? 
Sükösd Miklós, a rendezvény másik társ- 
elnöke az előadások sorából a kormány- 
zati portállal és az önkormányzati inter- 
netoldalakkal foglalkozó, valamint az 
internetszabályozásról és a szerzői 
jogokról szóló vitát, továbbá a Világháló 


biztonsági kérdéseiről szóló beszélgetést 
emelte ki. Emellett szó lesz a média 
internetes megjelenéséről, a hírszolgál- 
tatás és a szórakoztatás ötvöződéséről, 

a televíziós műsorok internetes felbuk- 
kanásáról is. Felhívjuk leendő résztvevő 
olvasóink figyelmét az izgalmasnak 
ígérkező záróvitára, amelyet , Ki a jobb?" 
címmel a Linux és a Microsoft képviselői 
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között rendeznek meg. A szervezők 
tájékoztatása szerint az esemény meg- 
nyitója és fővédnöke Stumpf István kan- 
celláriaminiszter lesz. 

A programok részletes listáját a 

2 http:/www.mediahungaria.hu/aktualis/ 


cimlap/ oldalon tekinthetik meg. 
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Beszélgetés az FSF Franciaország egyik képviselőjével 


A szeptemberben megrendezett Linux Konferencia meg- 
hívott vendége Aichard M. Stallmann volt, aki azonban 
a sajnálatos terrortámadás miatt kialakult helyzetben 
nem tudott Magyarországra repülni. Szerencsére a Free 
Software Foundation egyik francia vezéregyéniségét, 





Sebastien Blondeel-t sikerült rábeszélni, hogy helyette- 
sítse őt. Mint kiderült, Sebastien éppúgy fel tudta 
korbácsolni a kedélyeket, ahogyan Richard Stallmann 
tette volna. Mielőtt visszatért volna Franciaországba, 
sikerült egy rövid riportot készítenem vele. 

$Szy György: Az előadásodon említetted, hogy Stallmann 
az LME képviselője felé írt első válaszlevelében megkér- 
dezte, hogy az egyesület miért nem változtatja meg 

a nevét GNU/Linux-felhasználók Magyarországi Egyesüle- 
tére. Miért tartjátok ennyire fontosnak, hogy kihangsú- 
lyozzátok a GNU szerepét? 

Sebastien Blondeel: A Linux szó önmagában csak a 
rendszermagot jelenti, és az emberek sajnos hajlamosak 
rá, hogy elfeledkezzenek arról a rendkívül sok emberről, 
akik az egész környezetet kialakították. Állíthatom, hogy 
a GNU-termékek nélkül nem létezne olyan, hogy , Linux- 
rendszer". Gondolok itt a fordítókra, a héjakra, a rengeteg 
segédprogramra, valamint az egyéb külön futó program- 
csomagokra. Ezért kérünk mindenkit, hogy ne Linuxnak 
hívja az egész rendszert, hanem GNULinuxnak. Ugyan- 
csak sajnálatosan sokszor fordul elő, hogy amikor a GNU 
szóba kerül, a felhasználó így válaszol: ,Én Linuxot hasz- 
nálok, mi az a GNU?" Úgy érezzük, a GNU csapata meg- 
érdemli, hogy a rendszer nevében is feltüntessük őket. 
Sz. Gy.: Úgy vélem, hogy a jelenlegi helyzetet elsősorban 
a Linux-változatok forgalmazóinak köszönhetjük, hiszen 
ha bemész egy boltba, akkor nem RedHat GNU/Linuxot, 
hanem RedHat Linuxot vásárolsz, nem? 

$. B.: Pontosan. Ezért is fontos számunkra, hogy a nagy 
cégek is használják a GNU nevét. Nálunk Franciaország- 
ban jó kapcsolatot építettünk ki a MandrakeSoft céggel, 
akik az új változatban már Mandrake GNU/Linuxnak 
hívják a rendszerüket. Ez komoly elismerés azon progra- 
mozók számára, akik a rendszer elemeit már Linus Tor- 





valds megjelenése előtt is hosszú évek óta fejlesztették. 
Sz. Gy.: Mi a helyzet a többi nagycéggel? 

$. B.: Hadd vegyem előre a Debian-rendszert. Már köz- 
hely, hogy a Debian GNU/Linux mögött nem áll egyetlen 
olyan cég, mint a Caldera, a SuSE vagy a RedHat. Nos, 
a Debian-rendszer nevében természetes elem a GNU. 

A nagycégek helyzetében azért egy kicsit nehezebb 

a kérdés, az okok között pedig az első helyen általában 
az eladhatóság szerepel. Egy ilyen változtatás például 

a SuSE vagy a RedHat háza táján a cégek marketingesei 
szerint komolyan rontana a termék eladhatóságán. 

A SuSE egyébként is különcnek számít, gondolok itt pél- 
dául a YAST telepítőrendszerre, amely a saját fejlesz- 
tésük. Nálunk fontos, hogy a rendszerek között felügye- 
leti szinten is átjárhatóság legyen. 

Sz. Gy.: Ha jól tudom, a linuxos berkeken belül más 
területeken is vannak viták, értem ez alatt például 

a Szabad Programok és a Nyílt Forrás elméletek 
különbözőségét. 

s. B.: Igen, a két elmélet között a fő különbség, hogy 
míg a Szabad Programok (Free Software) elmélet egyér- 
telműen Richard M. Stallmann nevéhez kötődik és igazi 
szabadságot jelent, addig a Nyílt Forrás elmélet egy 
üzletemberek által kitalált rendszer. A Szabad Programok 
elmélet mögött nincsen cég, amely a termék bevételéből 
akarna megélni, csupán Richard M. Stallmann, és a 
hozzá kapcsolódó emberek. A Stallmann által képviselt 
irányvonal egyértelműen arra törekszik, hogy a felhasz- 
náló érdekeit védje. A GPL jogszerződés például lényege- 
sen komolyabb előírásokat tartalmaz a továbbfejlesztés 
és a forgalmazás terén, melyek elsősorban az ingyenes- 
séget, valamint a használhatóságot kívánják védeni. 

Sz. Gy.: Stallmann nagyon komoly szerepet játszik ebben 
a mozgalomban. Mi vonzza hozzá az embereket? 

s. B.: Richard nagyon határozott egyéniség, ha valamit 
a fejébe vesz, azt végrehajtja. A ,kezdetek kezdetén" 
Richard munkatársaival együtt szabadideje feláldozásával 
vágott bele az új ingyenes rendszer fejlesztésébe. Egyi- 
kőjük sem kapott érte egy huncut krajcárt sem. Egy idő 
után viszont mindegyik munkatársa elszegődött cégek- 
hez dolgozni és Richard egyedül folytatta a kódolást. 

A történet szerint annyira jó programozó, hogy amit 
számos jól képzett programozó céges megbízásból készí- 
tett, ő az ugyanazokat a feladatokat ellátó programokat 
ugyanannyi idő alatt egyedül alkotta meg. 

Richard a saját maga megbízója, és önmagával szemben 
is komolyan érvényesíti az elveit: a könyveket és progra- 
mokat ingyen írja. A történethez hozzátartozik, hogy 
egyedülálló. A csoport növekedésével azonban szüksé- 
gessé vált egy komoly szervezet kialakítása. A szervezet 
tagjai között ma már nemcsak önkéntesek vállalnak 
szerepet, az FSF-nek főállású és megbízásos alapon 
dolgozó munkatársai is vannak. 

Sz. Gy.: Az előadáson is felvetődött a kérdés: hogyan 

él meg egy programozó, ha ezt az elméletet követi? 

s. B.: Ez valóban gyakori kérdés. Itt két külön vonalat 
kell ismét szétválasztani. Az elsőhöz azok a programozók 





tartoznak, akik a szabadidejüket feláldozva segítenek. 
Ezek az emberek azért dolgoznak, hogy jól és szabadon 
használható rendszerek legyenek. Nem pénzért munkál- 
kodnak, az előállított terméket bárki használhatja. Az ő 
legnagyobb fizetségük, hogy létezik a GNU/Linux, amit 
bárhol használni tudnak, valamint egy-egy ilyen prog- 
ramban való részvétel komoly referenciát jelent. 
Természetesen sokan a megélhetésért programoznak. 
Itt elsősorban azt tartom fontosnak, hogy megkülönböz- 
tessük a ,szokásos" kereskedelmi rendszert az új elmé- 
letektől. A jelenleg legtöbb helyen működő változat 
szerint egy cég megírat egy programot mondjuk ezer 
dollárért, majd százért árusítja. Ezután, ha a rendszer 
ötven példányban fogy el, a forgalmazó busás haszonra 
tett szert. Szerintem ebben az esetben a vállalat lénye- 
gesen több pénzt kért el, mint amennyit megérdemelt. 
Jobbnak tartom, ha a programozó megkapja az ezer 
dollárt, a program pedig ingyenes, bárki szabadon hasz- 
nálhatja. Természetesen komoly kérdés, hogy honnan 
kapja meg a , munkás" az említett összeget. 

Jelenleg legtöbbször az első megbízó fizeti a rendszer 
árát. Mivel neki a rendszer amúgy is kell, ezért akár 
ilyen, akár olyan csapatnak, de fizetni fog érte. Ez az 

a pont, ahol a cég dönt, nyílttá teszi-e a fejlesztés ered- 
ményét. Ha bárki számára elérhetővé teszi, más cégek 
költséget takaríthatnak meg, az eredeti megbízónak 
pedig nem lesz miatta vesztesége (kivéve természete- 
sen, ha például egy olyan rendszerről van szó, amely 

a versenytársakat komoly ellenféllé teheti). 

Sz. Gy.: Rengeteg olyan rendszer van viszont, amely 
fizetős, és nem lehet megkerülni őket. 

$. B.: Igen, de a fizetős rendszereket viszont egyre több- 
ször írják újra a Szabad Programok elméletét követve. 
Hadd említsem az OpenSSH és GPG (az SSH és a PGP 
,Újraírásai ) példáját, amely azt mutatja, hogy az ered- 
mény sokszor még az eredeti rendszernél is jobb és 
hatékonyabb lesz. Ez egyelőre még lassú, de fokozatosan 
gyorsuló folyamat, és minél drágábban árusítja valaki 
valamelyik termékét, annál többen akarják majd segíteni 
ezt a fajta , újraírást" . 

Sz. Gy.: Tehát ha egy cég programot írat, készüljön fel 
rá, hogy a piacon hamarosan megjelenik ingyenes 
vetélytársa? 

$. B.: Ez természetes folyamat, de nem hiszem, hogy 
olyan világvége-hangulatra adna alapot, amilyennel a 
nagyobb cégek rémisztgetik a felhasználókat. Szerintem 
nem így kellene gondolkodni. A kódolás csupán töre- 
déke a munkának. Egy rendszer akkor válik igazán 
értékessé, ha sokan használják. Egy-egy program kap- 
csán egyéb feladatok is jelentkeznek. Az új felhaszná- 
lókat be kell tanítani, a rendszert üzemeltetni kell 
(szerencsére a GNU/Linux-rendszereknél ez kevesebb 
gondot jelent, mint sok más esetben), az új igényeknek 
megfelelő módosításokat üzembe kell állítani és a többi. 
Nem látom igazi értelmét, hogy ötezerszer kelljen megírni 
ugyanazt a számlázóprogramot. Olyan változásra számí- 
tok, mint amilyen például az ipari forradalom volt. 
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Mindenki félt a szövőszéktől, de utólag visszatekintve 
komoly lépés volt az iparosodás folyamatában. 

Sz. Gy.: Ezek szerint az általatok épített jövőben minden 
program szabadon elérhető és ingyenes, csak összeállí- 
tom a rendszert és máris működik? Egy idő után nem Is 
lesz szükség kódolókra? 

s. B.: Közel jársz az igazsághoz, de az, hogy ne lenne 
szükség igazi szakemberekre, nem igaz. Erik S. Raymond 
például azt írja, hogy a programozók kevesebb mint öt 
százaléka dolgozik a , dobozos" termékek előállításán, 

a többiek egyedi megbízások alapján tevékenykednek. 
Sz. Gy.: Térjünk vissza egy pillanatra az előadásodta. 

Az egyik fő mondandó az volt — ha jól értettem — hogy 
ne vásároljunk programokat. Mi a helyzet, ha komoly 
határidővel kell számolni, és egy dobozos termék 
másnapra megoldaná a gondot? 

$. B.: Nagyon fontos, hogy ez az egész elmélet csak 
akkor működik, ha az emberek is elfogadják. Hiába írnak 
egy rendkívül jó Gimpet, ha a grafikusok egyszerűen ki 
sem próbálják. Nem azt állítom, hogy minden helyzetet 
meg lehet a szabad programokkal oldani, de elvárható, 
hogy adjunk nekik egy esélyt. Számos esetben a fizetős 
rendszerek megvásárlása helyett szabad termékeket 
próbáltak ki, és ezek a rendszerek beváltak; vagy olyan 
esetek is előfordulnak, amikor egy-egy drága rendszer 
megvásárlása helyett annak újraíratása mellett döntött 

a cég (vagy a lehetséges vásárlók egy csoportja), és 

a végeredmény nemhogy kevesebb költséggel készült el, 
de ráadásul hatékonyabb volt, mint fizetős testvére. 

Az tény, hogy ha valaki átállt a szabad termékekre, szinte 
sosem tér vissza a fizetős termékek világába. Hadd em- 
lítsek egy példát: a marokgépek, a PDA-k világát. Ezek 

a kis gépek régen 250 dollár körül mozogtak, WinCE 
rendszert futtattak, mely rendszer ára — mondjuk — 
harminc dollár körül mozgott. Nincs messze az idő, hogy 
a jobb marokgépek ára is akár harminc dollár alá csök- 
ken, és természetes, hogy ebből a bevételből a gyártók 
nem kívánnak rendkívül nagy részesedést a Microsoftnak 
továbbadni. 

Sz. Gy.: A programok világában tehát megerősödött, el- 
ismert a szervezet. Említetted, hogy az oktatás területén 
is komoly terveritek vannak. Mondanál erről néhány szót? 
$. B.: Igen, mint mondtam, az elmélet nemcsak a prog- 
ramokra érvényes, de a megvalósításhoz szükséges 
leghatékonyabb eszköz; az Internet a programozók mind- 
egyike számára rendelkezésre áll, természetes tehát, 
hogy Itt indult el. Az elv viszont, hogy aki ingyen szeret- 
ne segíteni, az segíthessen, az oktatásban is használ- 
ható. A tankönyvek világában például évről évre megis- 
métlődik, hogy egy-két ember (most ne menjünk bele 

a részletekbe) felkérést kap például egy történelem tan- 
könyv megírására. Jó esetben az adott szerző ért is a 
témához, nekiáll, és ír egy négyszáz oldalas könyvet, 
amiben tíz fő témát tárgyal. A történészek (de más terü- 
letek képviselői is) általában az anyag egy-egy részében 
érzik magukat igazán otthon. Lehet, hogy valaki a , sötét" 
középkorral foglalkozik húsz éve, míg egy másik 
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történész az első világháborút ismeri elölről-hátulról. 
Előfordul, hogy az, aki húsz éve a középkorral foglalkozik, 
akár ingyen is nagyon szívesen elkészítené az említett 
tankönyv egy fejezetét, egyrészt a neve feltüntetéséért, 
másrészt azért az elvért, hogy a diákok minél színvo- 
nalasabb tananyagot kapjanak. 

Fut már egyébként egy nagy projekt, a GNUpedia, mely 
a fenti elv alapján igyekszik nemzetközileg használható, 
magas színvonalú enciklopédiát létrehozni. Mint látható, 
itt is kulcskérdés, hogy az oktatók internetközelben 
legyenek, tudják és akarják használni az adott lehetősé- 
geket, eszközöket. 

Sz. Gy.: Már csak egy rövid kérdésre maradt időnk. Kér- 
lek, engedj meg egy kérdést a magyarországi helyzettel 
kapcsolatban. Bizonyára hallottál róla, hogy a pártoló 
tábor növekedésével párhuzamosan nálunk is komoly 
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Magyarországon kevésbé ismert, pedig rendkívül jó nem- 
zetközi visszhangnak örvend a Caldera Linux. A Caldera 
cégtől Greg Bogochwalski-val (Kelet-Európa és Közép 
Ázsia területi igazgatója) beszélgettünk 
a változásokról és a jövőről. 

$Szy György: Magyarországon nem 
cseng annyira ismerősen a Caldera 
név. Pár szóval bemutatná, hogy 

a Caldera Linux milyen vásárlói 
közönséget céloz meg, illetve miben 
különbözik a többi, hozzá hasonló 
terméktől? 

Greg Bogochwalski: A Caldera 
jelenleg két fő vonalon tevékenykedik. 
Az első vonal a Caldera Linux, amelyet 
főleg fejlesztői felületek kialakításához, 
valamint kisebb kiszolgálókhoz aján- 
lunk. A Caldera Linux elsősorban az 
üzembiztosságot és a megbízhatósá- 
got tartja szem előtt, olyan rendszert 
biztosítva, mely hosszú távon nem változik. Ha egy 
változatot összeállítottunk, azt szigorú ellenőrzés után 
,fagyasztjuk" fél évre. Ez idő alatt a rendszer főbb elemei 
nem módosulnak (természetesen hibajavításokat 
folyamatosan készítünk). 

Sz. Gy.: Ezzel a termékkel melyik vásárlói réteget 
célozzák meg? 

G. B.: Elsősorban a közép- és nagyvállalatokat, a banko- 
kat, valamint a közigazgatást. Ezeken a területeken külö- 
nösen fontos az egységes, könnyen kezelhető rendszer. 
Nagyon szép eredményeket értünk el Koreában, Ausztrá- 
liában, az Egyesült Államokban és további országokban 
is. Különösen fontos számunkra az is, hogy felhaszná- 
lóink megfelelő támogatást kapjanak, ezért mindenhol 
komoly támogatási központok kialakítására törekszünk. 








személyes ellentétek ütötték fel a fejüket a hazai egyesü- 
letek és csoportok tárgyai között. Arra vagyok kíváncsi, 
hogy az ilyen típusú ütközéseket ti hogyan oldottátok meg? 
s. B.: Szó sincs róla, hogy nálunk ne lennének nagyon 
komoly ellenérdekek. Ez természetes. Az April például 
folyamatos vitában áll a Nyílt Forrás elméletet követő 
nagycégekkel. A kulcs talán az, hogy megértsük egy- 
mást és elfogadjuk, hogy a mi céljainkat nem kell min- 
denképpen ráerőltetni az egész világra. Annak ellenére, 
hogy vitáink vannak, egy oldalon állunk, és meg kell 
tanulnunk elfogadni, hogy mások is járhatják a saját 
útjukat. Megfontolt és hosszú távú célokat csak össze- 
fogással, egymás munkájára építve érhetünk el! 
Sz. Gy.: Köszönöm a beszélgetést, és további sikereket 
kívánok! 

SZVIGYOTGY 


Sz. Gy.: Magyarországon is létezik ilyen támogatási központ? 
G. B.: Jelenleg Magyarországon az ez irányú feladatokat 
az Areco szakemberei látják el, és meg kell mondanom, 
nagyon elégedettek vagyunk a szakmai felkészültségük- 
kel. Ez nem mindig egyszerű feladat, hiszen a Caldera 
számos alapvető kiszolgálóprogram hitelesített felülete, 
ilyen például az Oracle 91, sőt hamarosan az 111. Ez nagy 
horderejű hír, hiszen egy ilyen fontos alkalmazás futta- 
tása során egyetlen érthetetlen hiba is nagyon komoly 
következményeket vonhat maga után. 

Sz. Gy.: Az SCO beolvadt a Calderába. A másik fő 
feladatkör tehát a nagygépek területe? 

G. B.: Igen, pontosan. Az egybeolvadással a Caldera 
számos új ügyfelet szerzett, akik igényeinek továbbra is 
eleget kíván tenni. A cég az új Caldera Unix-rendszerrel 
kíván választási lehetőséget teremteni a vevők számára. 
Amennyiben egy feladat ellátására nem elég az egypro- 
cesszoros, Linux-alapú rendszer, ott erős, méretezhető 
Unixot ajánlunk, amely pillanatok alatt feldolgozza a leg- 
nehezebb feladatokat Is. 

Sz. Gy.: Térjünk vissza a Linuxhoz — sokszor hallom, hogy 
támadják a kereskedelmi cégeket, amiért egy ingyenes 
rendszert pénzért kínálnak. Mi a Caldera álláspontja, 
mely területeken teremti meg a bevételét? 

G. B.: Felmerül néha ilyen vélemény is, de a Caldera 
nagyon sokat tett a GNU- és a linuxos világ érdekében. 
Nagyon sok program eredetileg a Caldera védőszárnyai 
alatt készült, majd hasznos részévé vált a rendszereknek. 
Ilyen például az oly sokat használt RPM program is. 

Mi elsősorban nem a vásárlókról kívánunk minél több 
bőrt lenyúzni. Fő tevékenységi területeink a nagyvállala- 
tok. Egy olyan cégnek, mint például a McDonalds vagy 
a BMW, nem az a fontos, hogy mennyibe kerül egy 
termék, hanem az, hogy működjön. MI arra szerződünk, 
hogy működni fog, és ha a termék nem állja a sarat, 














































hatalmas pénzektől esünk el. Ezért fontos számunkra, 
hogy a rendszer minél tökéletesebb legyen. 

Sz. Gy.: Az óriáscégeknél is alapvető kérdés az irodai 
munkaállomás. Milyen terveik vannak e téren? 

G. B.: Terveink között szerepel, hogy ne egy egyszerű 
munkaállomást biztosítsunk, hiszen ez kevés ahhoz, hogy 


erős vetélytársként induljunk olyan nagycégek ellen, mint 


például a Microsoft. Olyan átfogó programcsomagra van 
szükségünk, amely az összetett irodai feladatok elvégzé- 
sét is lehetővé teszi, s nem csupán a szövegszerkesztést, 
táblázatkezelést, hanem a csoportmunka-támogatást is 
magában foglalja. Ebbe az irányba kacsintgat a Caldera 
Messaging Center, amely képes együttműködni a Micro- 


soft Outlook-rendszerekkel és természetesen a StarOffice- 


szal is. Régen a Microsoft azért tört be a piacra, mert 
választási lehetőséget teremtett a Unixszal szemben. 


Most a Linux új lehetőséget kínál a Microsofttal szemben. 


Sz. Gy.: E területen melyek az akadályai a Linux 
térhódításának? 

G. B.: Ez lassú folyamat. Szerencsésnek tartom viszont 
az új XP-k megjelenését, így ugyanis mindenki újragon- 


dolhatja ezeket a kérdéseket. Magyarországon (és egyéb 


országokban is) alapvető kérdés viszont a honosítás, 
a termékek anyanyelvre történő átültetése. Ebből a 


szempontból még komoly munka vár a Linux-közösségre. 


Sz. Gy.: Itt szintén előfordulhat, hogy a Caldera egy-egy 
honosítást akár támogatna Is? 

G. B.: Nem kizárt. Ha olyan csomagot tudunk összeállítani, 
amely tényleges munkakörnyezetet rejt magában, akkor 
ezért természetesen áldozni is hajlandók vagyunk. Sőt, 


akad olyan eset, hogy mi magunk is külsős munkatársakat 


keresünk, akik megbízásos alapon fordítanak. A Calderát 
egyáltalán nem zavarja, ha az elkészült termék szabad 
programként él tovább, a fontos az, hogy Caldera alatt is 
megbízhatóan működjön, továbbá a vevőink igényeinek 
megfeleljen. 

Sz. Gy.: Mely területen nyitnak még, milyen partnereket 
keresnek? 

G. B.: Az oktatás területén is sorsdöntő lépéseket szeret- 
nénk tenni. Van ugyan angol, számítógépes alapú okta- 
tási rendszerünk, de ezt Magyarországra is át szeretnénk 
ültetni. Itt sem elsősorban az a fontos, hogy nagy pén- 
zeket , akasszunk le", hanem hogy Magyarországon is 
megbízható, erős és szakmailag felkészült piac alakuljon 
ki. Természetesen forgalmazókat is keresünk. 

Sz. Gy.: Még egy utolsó kérdés. Említette a Microsoft 
jelenlegi piaci helyzetét. Hogyan értékeli, mennyire 
veszélyes egymásra a Microsoft és a Linux-közösség? 
G. B.: Véleményem szerint a Microsoftra a legnagyobb 
veszélyt maga a Microsoft jelenti. Ahogy mondani 
szokták: maga alatt vágja a fát, és ez a fa hamarosan ki 
fog dőlni. A Linux csupán választási lehetőséget kínál 

a felhasználók számára. 

Sz. Gy.: Köszönöm a beszélgetést, és további sikereket 
kívánok! 


] Szy György 
a Linuxvilág főszerkesztője, 
a Kiskapu Kiadó vezetője. Mindenki 
véleményét és levelét örömmel 
várja az alábbi levélcímen: 
Szy.GyorgyOlinuxvilag.hu 


Bejelentették a Samba 2.2.2 kiadást 


Október 13-án, szombaton hivatalosan is bejelentették 
a Samba kiszolgáló 2.2.2-es változatát. Ez a legfrissebb 
megbízható változat, a frissítést minden termelésben 
résztvevő kiszolgálónál javasolják. Különösen fontos a 
frissítés, hiszen az új változatban több komoly hibát is 
kijavítottak. Az újdonságokról röviden: 


Új démon: winbindd 

Az új démon segítségével nss (Name Service Switch) 
szolgáltatást lehet megvalósítani, így részt vehet a rend- 
szer a Windows NT/2000 tartományokban. Ezzel a rend- 
szer képes fájl- és nyomtatómegosztást biztosítani a 
/etc/passwd-ben nem szereplő felhasználók számára is. 
Még akadnak azonban befejezetlen részei is. 


Új kapcsolók 

Az smb.conf-ban használatos kapcsolók némelyike 
megváltozott, és újabbak is bekerültek. Többek között 
tovább javítják a Windows 2000-es rendszerekkel való 
együttműködést. Külön érdekes, hogy a megosztott 
nyomtatókat Windows 2000 alól helyi nyomtatóként 
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(helyi vezérlővel) használhatjuk. Az LDAP-n tárolt SAM- 
adatbázis támogatása is bővült (ezért újrafordítást 
igényel). Az SSL-támogatás hibáit is (fordítás 

- -with-ss1 lehetőséggel) kijavították, és három új 
kapcsolóval bővítették tovább az amúgy sem rövid listát. 
Új leírások 

Két nagyon érdekes új leírással bővült a docs/ könyvtár. 
Az első (README.Win2k$P2) a vándorló profilok 
Windows 2000 alatti támogatását tárgyalja, a második 
(README.Win32-Viruses) pedig ötleteket, tanácsokat 
ad, hogy miként harcolhatunk a vírusok ellen a Samba 
segítségével. 

Emellett rengeteg egyéb hibajavítás és újraírás is történt, 
de ami külön figyelmet érdemel, hogy még júniusban 
felfedeztek egy hibát, amelyet kihasználva a támadó 
rendszergazdai jogosultságot szerezhet. A hiba lényege 

a 9m makró használatából származott. Szerencsére, 
ritkán használják ezt a lehetőséget, ezért nem hallhattunk 
olyan komoly betörésről, amelyik ezt a gyenge pontot 
használta volna ki. 
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Az LME és a IMBE közös nyilatkozata 


A tervek szerint a lapzárta előtt napvilágot látott 

volna a Linux-felhasználók Magyarországi Egyesülete 
valamint a Magyar BSD Egyesület által közösen fogal- 
mazott nyilatkozat. A nyilatkozat kapcsolatos Miniszter- 
elnöki Hivatal és a Microsoft között szeptember 20-án 
létrejött szerződéssel, mely keretében a MeH első 
évben önállóan, majd a két következő évben az Oktatási 
Minisztériummal évenként egymillió forintot fizet 

a Microsoftnak, cserébe a hazai oktatók és hallgatók 
kedvezményes áron juthatnak hozzá az óriáscég 

több termékéhez. 

Sajnos a nyilatkozattal kapcsolatos egyeztetések, illetve 


Szemünk fénye 


Aki a szakmában van már egy jó évtizede, még emlék- 
szik azokra az időkre, amikor csodájára jártunk, ha egy 
monitoron nem csak tizenhat szín jelent meg. A vágyak 
netovábbja a VGA monitorok voltak, még abba is bele- 
egyeztünk, ha le kell mondani a színekről, hiszen a 
monokróm VGA két kategóriával jobb volt, mint a CGA. 
Azóta a világ sokat változott. Ma már nem is lehet 
ilyen ősállatokat kapni. Akkoriban még természetes 
volt, hogy a számítástechnika felkent papjai mind 
egytől egyig komoly szemkárosodással élnek együtt, 
ahogy egyik ismerősöm mondta, már a szemük is 

60 Hertzen ketyegett. 

Ma már szerencsére más a helyzet, komoly szabványok 
vonatkoznak a monitorokra, sőt az új lapmonitorok 
nem is , villognak", teljesen más elméleten alapul műkö- 
désük. Aki viszont nem olyan szerencsés, hogy egy 
ilyen többszázezer forint értékű falraakasztható képke- 
retet használjon, annak fontos, hogy figyeljen a szeme 
egészségére. 

Mire is figyeljünk? Elsősorban a frissítési gyakoriságra. 
Ez az adat azt mondja meg, hogy a monitoron megje- 
lenő kép másodpercenként hányszor , rajzolódik újra" . 
Ebből a szempontból a televízió is lehet viszonyítási 
alap. A tévékészülék általában 50 Hz-en dolgozik, egy- 
két óra tévézés után érzi is az ember, hogy villog a kép, 
ég a szeme stb. A monitorokra jellemző, hogy minél 
jobb egy termék, annál nagyobb felbontást és annál 
nagyobb gyakoriságot (60, 70, 75, 85, 100, 120 Hz, 
vagy még magasabb) tud kezelni. Mint említettem, a 
60 Hz még bántja a szemet, a 7/5 a mai mércék szerint 
éppenhogy elfogadható, a 85 már szép képet biztosít. 
Az ennél magasabb frissítések csak különleges esetben 
(például 30 szemüveg) szükségesek. 

Ennyit a gépi oldalról, de figyelnünk kell a szemünkre 
is! A programozó hajlamos arra, hogy alkotás közben 
,kikapcsolja" a testét, nem figyel rá. Pár óra munka 
(vagy játék, ugye...) után viszont azt érezzük, hogy 

fáj a szemünk, a fejünk, meg egyáltalán, mindenünk. 
De mi is történik? 

A szem nagyon érzékeny, a szemgolyók mögött sok 
apró izom gondoskodik a mozgásról és az éleslátásról. 





az elnökségi döntés október tizennyolcadikáig nem szü- 
letett meg, ezért a végleges szöveget nem tudjuk lekö- 
zölni. A helyzetet bonyolítja, hogy a szerződésről több 
hírforrás fontos részletekben eltérő módon beszélt, nem 
volt például tisztázva, hogy pontosan milyen termékekről 
van szó, és hogy a kedvezényes ár milyen módon, 
milyen elmélet szerint számítandó. 
Remélem, hogy a lap piacra kerülésekor a nyilatkozat 
már napvilágot látott. Amennyiben így van, a hivatalos 
változatot mindkét egyesület honlapján, valamint a 
2 linuxvilag.hu alatt is megtalálhatjuk. 

SZVIGYOTGY 


Bármit is végzünk, általában nem mereven egy kis 
téglalapot nézünk, ezért szemizmaink mozognak, 
frissek, a vérellátás is rendesen működik. Amikor 
viszont elkezdjük folyamatotsan bambulni a monitort 
az izmok megmerevednek, és mivel a szemizmok 
állapotát nem érezzük olyan erősen, mint mondjuk 
a combunk izmait, észre sem vesszük, hogy az izmok 
számára természetellenes állapotban vannak. Ennek 
következménye rövidtávon szemégés, fejfájás, az 
összpontosítási képesség gyengülése, hosszú távon 
látásromlás és egyéb látási zavarok. 
Ezért nagyon fontos, hogy vigyázzunk szemünkre! 
Ha nem megy másként, az elején folyamatosan figyel- 
jük az órát és félóránként rövid szemtornát tartsunk, 
(legkésőbb) két-három óránként pedig iktassunk be 
negyed óra pihenőt. 
Miből is áll egy ilyen szemtorna? Először is lazítsunk. 
Üljünk egyenesen, lazítsuk el a vállakat, majd csukjuk 
be a szemeket, és vegyünk két-három mély lélegzetet 
(nem baj, ha szemünk előtt ilyenkor színes ábrák vib- 
rálnak, ez természetes). Ha nagyon nyúzott a szemünk, 
és már le sem akar csukódni, a két tenyerünket az 
arcunk elé rakva takarjuk be szemeinket, csak arra 
összpontosítva, hogy a szemizmokat ellazítsuk. Ezt 
a lazítást legalább fél percig végezzük. Itt is természe- 
tes jelenség, hogy a szem , ugrál", hagyjuk, idővel 
kimegy a feszültség, a szemizmok újra megnyugszanak. 
Lazítás után jön a torna! Nézzünk föl a fej mozgatása 
nélkül, amennyire tudunk, majd lassan le, az állunk felé. 
Ezt ismételjük meg tízszer. Majd ugyanígy balra és 
jobbra is. Most szép lassan föntről kezdve vezessük 
körbe szemünket a látóterünk szélén. Ebből is, majd 
a másik irányból is tíz kört. Ezután keressünk egy minél 
messzebb lévő, még élesen látható tárgyat, például 
a szemközti ház egy erkélyét. Emeljük fel a mutatóuj- 
junkat az orrunk elé körülbelül egy arasszal, majd 
nézzünk először az ujjunk hegyére, majd az erkélyre. 
Ezt ismételgessük pár tucatszor. 
Máris készen vagyunk, egy kis lazítás után jöhet 
a munkal (Vagy a SimCity.) 

Szy György 





III. GNU/Linux Szakmai Konferencia - 2001 


Immáron harmadik alkalommal rendezte meg a Linux- 
felhasználók Magyarországi Egyesülete (LME) a 
GNU/Linux szakmai tanácskozást, amely a közkedvelt 
operációs rendszer mellett a nyílt forráskódú program- 
fejlesztést is előtérbe helyezte. A neves magyar és 
külföldi előadókat is felvonultató, mára fontos szerepet 
betöltő rendezvénynek idén a Közép-Európai Egyetem 
(CEU) Konferencia Központja adott otthont. Az előadások 
mellett természetesen kiállítás és vásár is helyet kapott, 
ahol a legnagyobb hazai linuxos cégek is képviseltették 
magukat. 


Biztonság mindenek felett... 

Elmondhatjuk, hogy folytatódott az előző tanácskozás 
irányvonala. Az ebédszünetet leszámítva nem volt a 
napnak olyan időszaka, hogy ne lett volna legalább egy 
biztonságtechnikai témájú előadás. Ennek oka talán az 
lehet, hogy valóban nagy igény mutatkozott iránta. 

Az utóbbi időben a Linux hódítása nem várt méreteket 
öltött, a gazdasági élet szinte minden területén alkal- 
mazzák, ám ezzel együtt az emberek szemlélete nem 
változott, tehát nem fordítanak kellő figyelmet a bizton- 
ságra. A nyílt forrású, szabadon felhasználható progra- 
mok elterjedése azonban azáltal segíthet kiküszöbölni 
ezt a folyamatot, hogy mindenki számára biztosítják a 
felhasználás és az ellenőrzés lehetőségét. Az előadók 
ezekre kívánták felhívni a hallgatóság figyelmét, majd 
mondandójukat kész megoldások ismertetésével szem- 
léltették. Elsőként Szentiványi Gábor, a SuSE Magyar- 
ország Kft. munkatársa tartott előadást a tűzfalakról, 

a biztonsági stratégiákról és az alkalmazandó biztonság- 
politikai alapszabályokról. Ezután részletesen, de közért- 
hetően kifejtette a helyes fizikai felépítéssel és az általá- 
nosan használt programbéli megoldásokkal kapcsolatos 
álláspontját, majd arról is beszélt, hogy ezeket a feltéte- 
leket hogyan biztosítja számunkra egy Linux-rendszer. 
Az előadásra természetesen nem bizonyult elegendőnek 
a tanácskozás programjában előirányzott 45 perc, a 
program közel két óra elteltével fejeződött be. Ezalatt egy 
másik helyszínen Scheidler Balázs, a Balabit Biztonság- 
technikai Kft. előadója kötötte le a látogatók figyelmét, 
kicsit gép- és programközelibb, de még mindig védelem- 
mel kapcsolatos előadásával, amelyben kész megoldá- 
sokat vázolt mindenki számára. 

Sokan a szabad programoktól várják a ma még nem, 
vagy csak kisebb-nagyobb hibákkal működő eljárások 
rögös útjának kisimítását is. Erre utalt az a digitális alá- 
írásokról tartott tájékoztató, amely a jelenlegi megoldások 
hiányosságaira mutatott rá, valamint mindezek elkerülé- 
sének módjait villantotta fel. A válasz természetesen a 
nagy tömegeket megmozgató, nyílt forráskódú fejlesztés. 
Ezeken túl szó esett még a biztonságos chroot-kör- 
nyezet kialakításáról, valamint a hasonló tulajdonságok- 
kal bíró levelező- és webkiszolgálók építéséről és védel- 
méről. Itt azannban már nem csak az adatbiztonság volt 
a fontos: a szolgáltatások célszerű felhasználásának 
igénye is előtérbe került. Ezek között szerepelt például 
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a levélkiszolgálók esetében az adatforgalom mérséklésé- 
vel előálló költségesökkentés, valamint az is, hogy mind- 
ezek figyelembevételével miként kell felépítenünk az 
adott szolgáltatásokat nyújtó gépünket — természetesen 
GNU/Linux-rendszer felhasználásával. 


Linuxot mindenféle géptípusra! 

A nap egyik érdekes színfoltjának számított egy IBM 
rendszeren működő Linux bemutatása. Az előadást 
Angyal László és Kolb Zoltán, a Polygon Informatikai Kft. 
munkatársai tartották. Az első élő magyarországi bemu- 
tató során megismerkedhettünk a GNU/Linux alkalmaz- 
kodási képességeivel. A középpontban egy IBM iSeries 
(AS/400-típusú) kiszolgáló állt, amelyre előre felvarázsol- 
tak egy Linuxot. Ezután a hallgatóságnak bemutatták 

a gépet, jellemezték főbb tulajdonságait, kiemelték elő- 
nyeit, majd a legelső lépésektől kezdve elmagyarázták 
a telepítési folyamatot: virtuális gépet alakítottak ki, 
lemezterületekre bontották, erőforrásokat foglaltak le, 
és beállították a virtuális eszközöket. A gépen már futó 
Linux-rendszeren könnyedén szemléltethették élő pél- 
dával az összes lépést. 


Egyre több területen hódít a Linux 
Számtalan beszámoló szólt arról, hogy a Linux a gazda- 
sági és társadalmi élet szinte minden területén használ- 
ható. Ezt felismerve egyre többen kezdik alkalmazni 
mindennapos használatra, irodai- és multimédiás alkal- 
mazások futtatására, de akár bonyolult matematikai 
műveletek számítására is, a fürtözés módszerét segít- 
ségül hívva. Az ezekről szóló beszámolók legalább annyi 
embert vonzottak, mint biztonságról szóló társaik. 


Szabad programáramlás 

Az eredeti program szerint a konferencia díszvendége 
Richard M. Stallman, a Szabad Szoftver Alapítvány (FSF) 
elnöke lett volna, aki a New York-i események miatt nem 
tudott eljönni. Helyette Sebastien Blondeel, az FSF euró- 
pai képviselője tartotta az összevont fő előadást, amely- 
ben a nyílt forráskódú programozásról és a GNU Linux 
operációs rendszerről beszélt. Minderről bővebben a vele 
készült riportban olvashatnak a 12. oldalon. 


Hogyan tovább? 

Megállapíthatjuk, hogy az idei tanácskozás hűen tükrözte 
a Linux és a nyílt forrású programok magyarországi hely- 
zetét, erőviszonyait. Az ide látogatók képet kaphattak 

az új irányzatban rejlő lehetőségekről, kihasználásuk 
módszereiről. A tanácskozás évről-évre nagyobb méretű, 
és ez minden Linux-rajongó számára öröm. 


Komáromi Zoltán 

(komi (Afreemall.hu) 21 éves, a BME 
hallgatója, mellette PHP-programozó- 
ként dolgozik. Kedvenc területe a multi- 
média. Kedveli a nagy társaságot, az 
érdekes embereket, a Jó filmeket és min- 
dent, ami mozgalmas. Szabadidejében röplabdázik. 
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Amikor Afrika kerül szóba, az úgynevezett digitális szaka- 
dék egyszerű szakadékká változik át, nem lesz benne 
semmi digitális. A szakadék egyrészt földrajzi, mert 
Afrika a messzi távolban fekszik, másrészt kulturális, 
mert az afrikai hagyományok és történelem az európaitól 
és az amerikaitól egyaránt függetlenül jött létre. És mint- 
egy , mellékesen" megjegyezve: a szakadék gazdasági is, 
amennyiben a készpénzes erőforrásokat nézzük, vagy 
azt, hogy mi az emberek elképzelése a gazdagságról — ne 
feledkezzünk azonban meg róla, hogy a földrész termé- 
szeti erőforrásokban gazdag. A szakadék végeredmény- 
ben főként a tudatlanságból ered, amely Amerikánál a 
legszélesebb. 

Az amerikaiak általában nagyon keveset tudnak Afrikáról, 
és ami keveset tudni vélnek, az is általában előítéletekből 
táplálkozik és téves. Ha Florida államot csak a hírműso- 
rokból ismerném, azt gondolnám, hogy egy nagy, lakóko- 
csikkal teli park, amelyekben kövér rózsaszínű emberek 
élnek, akik állandóan hurrikánok elől menekülnek. Hason- 
lóképpen a legtöbb amerikai számára Afrika csak egy 
katasztrófaövezet járványokkal, éhezéssel és népirtással. 
A képen, ami az átlagos amerikai képzeletében él az 
afrikai segélyezésről, általában egy bátor, fiatal (fehér) 
nő — ápolónő vagy önkéntes — szerepel, amint egy gyá- 
moltalan fekete csecsemőt tart a kezében, mögötte a 
háttérben hálás és csodáló arckifejezésű afrikaiak állnak. 
Afrika természetesen egyáltalán nem ilyen, és a szaka- 
dékon átvezető hídon megtett első lépéssel együtt 
száműznünk kell ezeket a sértő közhelyeket, és mindent 
meg kell tennünk azért, hogy megtudhassuk, milyen is 

a valódi Afrika. Nem tenne jó szolgálatot a rajta élő 
embereknek, ha általánosítanék a földrésszel kapcso- 
latban, mintha csak egyetlen helyről lenne szó. Afrika 
csodálatos és összetett világ! Ha Conakry utcáin sétá- 
lok, vagy egy eldugott kis faluba jutok el, körülölel az 
emberiesség melege, elárasztanak a színek, az életerő 
és az élet teljes sávszélessége. Ez sokkal több, mint amit 
valaha — akár a legnagyobb képernyőn is, akár a leg- 
gyorsabb DSL-kapcsolattal — ki lehetne fejezni. Afrika 

az igazán széles sávú: kultúrák és sokszínűség, a nem- 
zeti és az emberi tartalom teljes tárházát kínálja. Lehet, 
hogy a laposképernyős , valóság" nagy jelentőséggel 

bír az amerikai alkalmazott számára szánalmasan sivár 
dobozirodájában, de Afrika a személyes párbeszédről 
szól, valós időben. 

A nyílt forráskód támogatói biztosak lehetnek benne, 
hogy az afrikaiak tudják, mi is a közösség. Afrikában 
létezik a bazár. Ezek a fogalmak az egész földrészen 
átitatják a kultúrákat és a hagyományokat — az afrikai 
társadalmak már jóval az RJ45-ös dugó feltalálása előtt 
a hálózatok mesterei voltak. Történelmük során mindig 
befogadták, sokszor vesztükre, a kultúrák között áramló 
vagy a külső népek által behozott nézeteket és újításo- 
kat. Általánosságban elmondhatjuk, hogy Afrika már 
korán és lelkesen befogadta az új távközlési eljárásokat, 
főleg amikor ezek célszerűek és olcsók voltak. Tíz évvel 
ezelőtt megdöbbentett a Botswanában egy főre eső 


Algoritmusok Afrikában (2. rész) 


faxgépek száma, ma pedig Guineában a mobiltelefonok 
egyre növekvő törvényes és feketepiacát látom. A közel- 
múltban meglátogattam az ország belsejében egy me- 
csetet, ahol is az ősz szakállú, bölcs müezzin kifejezetten 
azért vitt fel a minaret tetejére, hogy megmutassa a 
napenergiával működő erősítő- és hangszóró rendszert, 
amivel a híveket imára hívja. 

Kevesebb, mint 90 éve történt — írta Gina Kolata, a New 
York Times tudományos újságírója Nátha című, nemrég 
megjelent könyvében —, hogy a Ladies Home Journal 
(hölgyeknek szóló lakberendezési magazin) a ,.lIving- 
room" kifejezés használatát javasolta a nappali megjelö- 
lésére, mivel a nappali az a helyiség, ahol az élet zajlik. 
A sors iróniája, hogy röviddel e kijelentés után a spa- 
nyolnátha, egy máig ismeretlen eredetű, világméretű 
influenzajárvány beköltözött az otthonokba és 1,5 millió 
amerikai halálát okozta, világszerte pedig negyvenmillió 
áldozatot szedett. Ez nem valami sötét középkori törté- 
net, 1918-ban történt. Napjainkban, amikor korunk 
pestise, az AIDS pusztít, újra felbukkan a tuberkulózis, 
és olyan új rejtélyek jelennek meg, mint például az em- 
bereknél tapasztalt Creutzfeldt-Jakob szindróma és a 
szarvasmarhákat megfertőző kergemarhakór összefüg- 
gése. Vajon elégséges lesz-e az orvostudomány ahhoz, 
hogy megmaradjunk, akárcsak mi, a legszerencsésebb- 
nek nevezhető kisebbség? 

Mindenesetre azoknak, akik másokon szeretnének segí- 
teni, legalább a múltbeli hibáikból okulhatnának, és 
meg kellene kérdezniük maguktól, hogy a városszer- 
vezési modellek, a túlzsúfoltság, az erőforrás-felhaszná- 
lás módja, a környezet kiaknázása vajon mások számára 
is fenntartható, kívánatos vagy kimondottan jó export- 
cikk-e ebben a világban. 

A gondolatmenet során ekkor jutunk el odáig, hogy el 
tudjuk fogadni a következőt: elképzelhető, hogy az Inter- 
net nem jelent megoldást az emberiség minden gond- 
jára-bajára. Még az is előfordulhat, hogy elegendő a 
türelmünk annak megértéséhez, miszerint a nagy változá- 
sok véghezviteléhez több nemzedéknyi időre és türelem- 
re lesz szükség. Mostanra világossá vált, hogy a Linux 
és a nyílt forrás fejlesztői azzal teszik a legtöbbet Afriká- 
ért, amivel eddig is. Azok, akik az Internet lelkét adó, 
világraszóló szabad programokat írják és telepítik, fontos 
és mélyreható segítséget nyújtanak felhasználási szer- 
ződéstől függetlenül. A GNU és a nyílt forráskódú prog- 
ramok tökéletesen megfelelnek a felfutó afrikai nemze- 
teknek és a világ többi részének is — nemcsak azért, 
mert e rendszerek műszaki adottságai rendkívül jók, ha- 
nem legfőképpen ama értékeknek köszönhetően, ame- 
lyeket a fejlesztés során szem előtt tartanak. 


Wayne Marshall 
(gulinix-oyahoo.com) 
Unix-programozó és technikai 
aj tanácsadó. A nyugat-afrikai 
Guineában él. 
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Szerzői jogi kérdések 


A Linux Journal jogi szakértője most a szerzői jogok 
útvesztőjében vállal rövid túravezetést. 

Szeretném elkészíteni egy kereskedelmi program 
nyílt forráskódú változatát. Megtehetem-e úgy, hogy 
ne pereljen be a program tulajdonosa? 

Andre Durand, a Jabber.Com alapítója 

Kizárólag a példa kedvéért azt fogom feltételezni, hogy 
egy olyan programnak szeretné elkészíteni a nyílt forrás- 
kódú változatát, mint amilyen a Windows. A legtöbb 
kereskedelmi program tulajdonosa (mint például 

a Windowsé) sajnos nem engedi meg, hogy a program- 
kódot visszafejtsük vagy 
lemásoljuk. Ez azonban 
nem jelenti azt, hogy a 
saját tehetségünkre építve 
ne hozhatnánk létre egy 
kereskedelmi program akár 
javított és továbbfejlesztett 
változatát. 

A kérdésre a rövid válasz: 
igen — mindaddig, amíg 
saját változat készül a 
programból, és nem sérti 
meg a kereskedelmi 
program szerzői jogait 

és szabadalmatt. 

A bíróságok egységesen 
úgy vélik, hogy a szerzői 
jog megsértését a szerzői 
joggal védett mű szándé- 
kos, illetve nem tudatos 
lemásolása meríti ki. Ezzel 
ellentétben, ha valaki a már 
meglévő védett anyagok 
felhasználása nélkül a saját munkájával állít elő valami 
hasonlót, nem történik jogsértés. 

Ahogyan Learned Hand bíró fogalmazott: ahhoz, hogy 
egy szerzői jogi per sikeres legyen, ,többet kell felmu- 
tatni, mint a feltételezett másolat és a kérdéses rész 
közti puszta hasonlóságot vagy akár azonosságot" 

(Fred Fisher Inc. kontra Dillingham D.C.N.Y. 1924 298 
F.1145, 147). Így folytatja: 

,Két vagy több ember írhat ugyanarról a témáról, 
kezelheti azt hasonlóképpen, illetve használhatja 
ugyanazokat az anyagokat hasonló módon és ugyan- 
azon célra. Műveik tartalmazhatják ugyanazokat a 
gondolatokat, érzéseket, elképzeléseket; akár azonosak 
is lehetnek. Az ilyen hasonlóság vagy egyezés csak 
annyiban lényeges, hogy megmutathatja, történt-e 
törvénytelen másolás." 

A másolás tényét bizonyítékkal kell alátámasztani. 

A törvény megköveteli annak bizonyítását, hogy kifeje- 
zetten másolás történt, és amennyiben a bizonyítékok 
nem meggyőzőek, annak bizonyítását, hogy az eredeti 
hozzáférhető volt és , lényegbevágó hasonlóság" áll 
fenn. A bizonyítékokat többféleképpen lehet értelmezni, 
ami kockázatot rejt magában, ezért aki arra adja a fejét, 
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hogy saját, független változatot készítsen egy kereske- 
delmi program alapján, az jobban teszi, ha pontos 
feljegyzést készít mindenről, amit tesz. 

Amikor az újra megvalósítandó programot megvizsgáljuk, 
korlátozzuk magunkat a program feladatának és eljárásai- 
nak külső megfigyelésére. Emlékezzünk rá, hogy amennyi- 
ben a programunk túlságosan is hasonlít a kereskedelmi 
programhoz, a bíróság nem feltétlenül hiszi el, hogy nem 
láttuk és nem másoltuk le a szerzői jogvédelem alatt álló 
kódot. Minél kevesebbet látunk, annál valószínűtlenebb, 
hogy ,lényegbevágóan hasonló" legyen a kódunk. 

Ne másoljuk le a kereskedelmi 
program felhasználói leírását 
még akkor sem, ha az új prog- 
ram szándékaink szerint azonos 
módon fog működni. A leírás 
ilyesfajta másolása jogsértő, 
akkor Is, ha maga a program 
nem sért szerzői jogokat. 

Ha a forráskódot vagy a keres- 
kedelmi program megvalósítá- 
sának egyéb részleteit korábban 
megismerhettük, szükség lehet 
rá, hogy kizárjuk magunkat 

a nyílt forráskódú változat fej- 
lesztéséből. Ennek egyik megva- 
lósítási módja a nagy cégeknél 
a programmal szembeni követel- 
mények rögzítése, és egy olyan 
fejlesztőkből álló csoportnak tör- 
ténő átadása, akik sohasem 
látták az eredeti kódot. Védeke- 
zésképpen érdemes ezt az eljá- 
rást kimerítően leírni. 

Egy utolsó figyelmeztetés: az eredeti kereskedelmi prog- 
ram szerzői jogai nem terjednek ki a , gondolatokra, " 
amelyeket a program megvalósít, csakis ezek ,kifejezé- 
sére." Jogunk van a program gondolatainak újbóli meg- 
valósítására anélkül, hogy a szerzői jogok megsértésétől 
tartanunk kellene. Ugyanakkor a gondolatokat szabadal- 
mak védhetik. A szabadalommal védett megoldás puszta 
megalkotása, használata vagy árusítása kimerítheti a 
szabadalmi jog megsértését. Egy szabadalmat megsért- 
hetünk anélkül, hogy lemásolnánk, még akkor is, ha füg- 
getlen módon és jóhiszeműen jutunk el pontosan ugyan- 
ahhoz a gondolathoz; ha tehát a kereskedelmi program 
bizonyos részeit szabadalom védi, akkor meg kell találni 
annak a módját, hogy ezeket a részeket a szabadalmazott 
eljárás bárminemű fölhasználása nélkül valósítsuk meg. 


Lawrence Rosen 
(www.rosenlav.com) magángya- 
korlatot folytató jogász a kaliforniai 
Redwood Cityben. A Nyílt Forrás 
Kezdeményezés (Open Source 
Initilative ügyvezető igazgatója és 
jogtanácsosa (2 www.opensource. org ). 
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Sorozatunkban olyan 
cégeket gyűjtünk 
csokorba, amelyek 
huzamosabb Ideje 
számos területen 
Linuxot alkalmaznak. 
Lássuk, mi a helyzet 
a hazai bíróságokon. 
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Cégcsokor (2. rész) 


Az informatika a kilencvenes évek elején jelent meg a 
bíróságokon. 1998-ig — az Országos Igazságszolgáltatási 
Tanács megalakulásáig — a bírósági informatikai fejlesz- 
tést a megyei bíróságok többé-kevésbé önállóan végezték. 
Általában a maradékelvet követték: ha maradt rá pénz, 
volt fejlesztés. (A szabályt erősítő kivételt a cégbírósá- 
gok országos hálózatának központi fejlesztése jelentette. ) 
1992 végétől a Vas Megyei Bíróságon — az akkortájt 
megszokott DOS-NetWare hálózat helyett — SCO Unix- 
alapú hálózatot helyeztek üzembe. Azért döntöttek így, 
mert a DOS-os világ korlátai már kezdtek kirajzolódni, 
ugyanakkor megfigyelhetők voltak az Internet kibonta- 
kozására utaló első jelek. Célszerűnek látszott az eleve 
nagyobb lehetőségeket engedő, egyszersmind komoly 
múlttal és referenciákkal rendelkező, de elérhető árú 
rendszer megismerése és alkalmazása. Természetesen 
követelmény volt a már meglévő programok illeszthető- 
sége is. Úgy ítélték meg, hogy választásukkal a mozgás- 
terüket nem szűkítették le: mind a DOS, mind Unix világa 
nyitott maradt. 
A DOS-Windows 3.1-alapú ügyfeleket eleinte S5C0-meg- 
felelő program (PC-Interface) kapcsolta a kiszolgálóhoz. 
Később az ügyfelek számának növekedésével ingyenes 
(részben nyitott forráskódú) programok használatára 
tértek át. 1996-ig üzemelt ez a rendszer, az SCO lénye- 
gében fájlkiszolgáló, nyomtatókiszolgáló és CD-kiszolgáló 
(Complex Jogtár) feladatkört látott el. Időközben hálózat- 
bővítés eredményeként egy másik SCO-kiszolgálót is 
üzembe helyeztek: a két kiszolgáló útválasztóként is mű- 
ködött, három koax ethernetszakaszt ellátva. 
Linuxszal 1994-től kezdtek el foglalkozni egy magánúton 
beszerzett Yggdrasil-változatot tartalmazó CD segítsé- 
gével (0.99.13-as rendszermag, X11R5, Postgres 4.1). 
Eleinte ügyfélként próbálgatták, de hamar nyilvánvalóvá 
vált, hogy kezesebb, mint az SCO. 1996-ban jött el az 
ideje, hogy a kiszolgálókra Linux kerüljön: Slackware- 
terjesztés 1.2-es sorozatú rendszermaggal. (Mindeköz- 
ben a bíróság gazdasági hivatalán belül egy, az idő 
múlásával egyre ,szürkülő" NetWare-hálózat működött 
nyolc géppel.) 
Gyökeres változás 1998 őszén következett be. Ekkor 
minden megyei bíróság (az addig informatikára fordított 
összegekhez képest) komoly központi forrásokhoz jutott, 
amelyet a (megye)székhelyi bíróság informatikai fejlesz- 
tésére kellett fordítaniuk. Úgy döntöttek, hogy a legjobb 
költséghatékonyság elérése érdekében alapvetően 
linuxos rendszert alakítanak ki. Ekkorra már kezdett be- 
indulni a ,Linux-úthenger", egyre több mértékadó folyó- 
irat, cég, fórum volt kénytelen válaszolni a Linux-jelen- 
ségre, miáltal igazolva kezdték látni korábbi Unix-irányú 
döntésük helyességét. Végül a rendelkezésre álló tízmillió 
forintból a következő rendszert sikerült kialakítani: 
e — 36 végpontos, tisztán UTP-hálózat (addig mindenhol 
házilag barkácsolt koax ethernetet használtak); 
e — egy kiszolgáló (10 GB UWSCSI merevlemez, CD-író, 
CD-olvasó, 512 MB RAM, 24 GB DAT); 
e . harminc merevlemez nélküli (diskleses) PC (K6-200, 


illetve 300, 64 MB RAM, boot epromos hálózati 

kártya, 15 hüvelykes monitor); 
e — egy hálózati nyomtató (PostScript, A3, illetve A4, 

32 lap/perc, kétoldalas, 3000 lapos adagoló); 
e tíz személyi lézernyomtató (8 lap/perc). 
A rendszert úgy alakították ki, hogy a leíró-, illetve keze- 
lőirodákban az ott dolgozók 1—1 nyomtatót közösen 
használnak. A bírói szobákban nincs nyomtató, de háló- 
zati változata mindenki számára elérhető (elsősorban 
a jogszabályok CD Jogtárból történő nyomtatására). 
Operációs rendszerként a SuSE terjesztését alkalmazták, 
két okból is: egyrészt mert megítélésük szerint ez támo- 
gatta leginkább az új videovezérlőket, másrészt ezt 
kapták a bevezetett ApplixWare irodai program mellé. 
Az ügyfél alapvetően kétféle lehet: X-terminál, illetve 
X-es munkaállomás, attól függően, hogy a felhasználói 
programok a kiszolgálón vagy az ügyfélen futnak. Ők 
ez utóbbit választották: így egyrészt az ügyfél processzo- 
rának teljesítménye megfelelően kihasznált, másrészt 
csökken a kiszolgáló terhelése, harmadrészt a helyi 
nyomtatás nem jelent nehézséget. Minthogy még DOS- 
os programokkal is rendelkeznek, kénytelenek DOSemut 
használni, ami szintén ilyen elrendezést kíván. Hátrány- 
ként el kell viselni a csereterület (swap) hiányát és 
a nagyobb helyi hálózati sávszélességigényt. 
A következő (több részből álló) nagyobb beruházásra 
1999 őszén került sor. Ekkor már a bíróság — a központo- 
sított közbeszerzés keretén belül — közvetlenül jutott 
eszközökhöz. A szállító céget megkérték, hogy a működő 
rendszerben próbálhassák ki az általuk felkínált gépet. 
Ennek során kiderült, hogy az Intel alaplap (valószínűleg 
BIOS-gondok miatt) nem kezelte a boot epromos hálózati 
kártyát. Az eredeti kiépítésen tehát módosítani kellett: 
egy másik (olcsóbb) alaplapot kértek a gépekbe merevle- 
mez, hajlékonylemezes meghajtó, CD-olvasó és Windows 
nélkül, viszont gyorsabb processzorral, nagyobb memó- 
riával, sőt — hogy a forintkeretet kitöltsék — még két 
további gépet és tíz lézernyomtatót is vásároltak. 
Érdekes történet ebből az időből: a szállító értékesítési 
menedzsere eleinte nem tudta elhinni, hogy nem minden 
(lemez nélküli) géphez kell OEM Linux. . . 
Amikor kiderültek az alaplappal kapcsolatos gondok, 
a szállítót nehéz feladatnak bizonyult rábeszélni a cserére. 
(Felmerült, hogy amennyiben a Boot Eprom nem megy, 
hajlékonylemezes meghajtót kérnek a gépekbe, de nyílá- 
sával a gép belseje felé fordítva, egyszer s mindenkorra 
benne hagyva az indítólemezt.) 
Összesen hat kiszolgálót is kaptak volna a vidéki bírósá- 
gok ellátására (egy nagyobbat és öt kisebbet). Mivel 
csak két vidéki bíróságon van hálózat, az ötből hármat 
,becseréltek" a szállítónál, ezek helyett a bíróság két 
szombathelyi épülete között mikrohullámú összeköttetés 
kiépítését kérték. Az útválasztók természetesen kiörege- 
dett 486-osok voltak, Linuxszal. .. A ,nagy" kiszolgálót 
a megyei bíróságon állították munkába, az addigi kiszol- 
gáló tartalékként maradt, illetve a mentéseket végzi 
(naponta DAT-ra, nagyobb időszakok végén, programfris- 
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sítés előtt CD-re is). Minthogy minden adat a kiszolgálón 
található, a napi mentést egy lépésben, egyszerű 
parancsállománnyal el lehet elvégezni. 

Ezzel a beruházással lényegében Linux-alapon áll a bíró- 
sági informatikai rendszer, és egyúttal az egyre kíno- 
sabbá váló jogtisztasági kérdést is megoldották (az 
ApplixWare mellett fokozatosan bevezetik a StarOffice-t). 
Időközben saját erőből valósították meg az internetelé- 
rést ISDN-en keresztül, sőt, a körmendi és a sárvári 
bíróságok felé is közvetlen ISDN-adatkapcsolat van. 
1999 végén egy Phare-projekt keretén belül kiépült 

a bíróságok országos hálózata is: minden megyei bíróság 
16 kbit/s garantált sávszélességű kapcsolatot (Frame 
Relay) kapott az OITH irányába, valamint egy RS/6000 
kiszolgálót (A/X-t-Apache 1-Samba7-Oracle InterOffice, 
14 felhasználó) a belső levelezés számára, és 14 IBM 
PC-t Windows NT-vel. Mivel a levelezőrendszer műkö- 
dése és kényelme némi kívánnivalót hagyott maga után, 
a 14 PC-t is inkább a helyi rendszerbe illesztették, 
kiiktatva ezáltal az NT-ket. Az országos hálózat IP-címei- 
vel való ütközés miatt a helyi rendszert az RS/6000-ről 
(természetesen linuxos) tűzfallal választották le úgy, 
hogy az azon még futó InterOffice szükség esetén 
elérhető legyen. 

Jelenleg a kiszolgálón a , szokásos" kiszolgálóprogramok 
futnak: bootpd, NFS-kiszolgáló, Apache (belső haszná- 
latra), Sguid, Bind, Omail, PostgreSOL, mars nwe stb. 

A közeljövőben vírusirtó programot is kapnak, pontos 
szerepe még nem tisztázott. . . A kiszolgáló szolgáltatja 

a Jogtárat is, de nem CD-ről, hanem a gyorsaság kedvé- 
ért a merevlemezről. Az 57 feliratkozott felhasználó közül 
egyidejűleg általában 30—35-öt szolgál ki, kellemesen 
alacsony (0,1 körüli) terheléssel. Folyamatosan zajlik 

az internetes ismeretek oktatása a felhasználók számára, 
továbbá a Fővárosi Bíróság jóvoltából valamennyi fel- 
használó külön költség nélkül levelezhet. 
Különlegességként: a titkos anyagokat cfs (crypto file 
system) segítségével kódolt formában a kiszolgálón 
tárolják. (Kódolás hiányában mobil adathordozót lenne 
szükséges használni és páncélszekrényben tárolni.) 

Az ügyfeleken elsősorban szövegszerkesztés folyik, vala- 
mint nagyrészt Clipper-alapú nyilvántartásokat vezetnek. 
Ez utóbbiak továbbra is DOSemuból érhetők el, de — egy- 
két program esetén — mód van az ügyfél közvetlen DOS- 
os indítására is. Mindkét esetben az ügyfélgép egyúttal 
mars nwe-ügyfél is. Néhány programjuk már linuxos 
környezetre készült, ezek egy része önálló fejlesztés, má- 
sikuk meglévő DOS-program helyettesítője, illetve kiegé- 
szítője. (Ez utóbbi esetekben a .DBF formátumú adatokat 
ültetik át PostgreSOL alá és úgy használják fel.) 

Terveik között szerepel az LDAP bevezetése, például 
azonosítás céljára. Minthogy a lemez nélküli ügyfelek 
mind ugyanazt a passwd- és shadow-fájlt látják, az LDAP 
alkalmazása valójában nem sürgős, de szeretnének fölké- 
szülni az egyéb LDAP-t igénylő programok fogadására, 
illetve készítésére. Tervezik további DOS-alapú progra- 
mok kiváltását linuxos, illetve többfelületes 
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programokkal; és újak készítését a bírósági ügyvitel még 
ellátatlan területeire; ezenkívül a vidéki bíróságok 
adatkapcsolatának kihasználását (levelezés, adatbázis- 
elérés). Szeretnének bootp-ről DHCP-re áttérni. A fejlesz- 
tések során elsősorban a Python-PostgreSOL párost 
használják. Tekintettel a roppant egyszerű és könnyen 
áttekinthető felépítésre hálózatfelügyelő programot 
egyelőre nem alkalmaznak. 

A felhasználók többsége csak annyit tud a Linuxról, hogy 
más, mint a Windows. Korábban már többen használtak 
Windowst, esetükben a grafikus felület használata nem 
jelentett gondot, 
viszont az alkalma- 
zások , mássága" 
igen. Az első időkben 
előfordultak véletlen 
dokumentumtörlé- 
sek, mikor Is a fel- 
használók első 
válasza többnyire 

az volt, hogy , rossz 
a gép". Akiknek nem 
volt számítógépes 
tapasztalatuk, azok- 
nál a legnagyobb 
nehézséget az egér 
kezelésének megtanulása és az írógépes múlt során 
rögzült rossz szokások levetkőzése (az , 1" és ,!" karak- 
terek, valamint a ,0" és az ,o" karakterek összekeverése, 
a szóköz billentyűvel végzett szövegformázás) jelentette. 
Ők alapszintű oktatásban részesültek, és néhány nap 
alatt belejöttek a gyakorlatba. A , fortélyokat" mindig 
egy-egy valódi eset kapcsán tanulták meg. Mivel koráb- 
ban ugyanezek a nehézségek jelentkeztek a windowsos 
környezet kapcsán is, úgy tűnik, hogy a kérdések nem 
egyetlen rendszerre jellemzőek. 

Az operációs rendszerrel magával csak az informatikusok 
találkoznak. Problémák abból szoktak adódni, hogy a 
.DOC- vagy .XLS-állományok bevitel után nem pontosan 
úgy néznek ki, mint egy windowsos rendszerben. Ha az 
azonosság mégis fontos, akkor általában más formában 
(például .RTF) kérik a küldőtől az adatokat. Nem okoz 
különösebb gondot a hajlékonylemezes meghajtók hiá- 
nya sem, mert kérésre bárki a hajlékonylemezen szállított 
dokumentumaltt felteszik a rendszerre. 

Az irodai rendszerként használt Applixware menürend- 
szere magyarított, ezért a használata egyszerű. Ha szo- 
katlan üzenet megjelenésekor (mindegy, hogy angol 
vagy magyar nyelvű) a felhasználó bizonytalan a helyes 
válaszban, inkább az informatikusokhoz fordul. 
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Kósa Attila 

(atkosa(oshinwa.hu) informatikus 
mérnök. Egy japán cégnél dolgozik 
rendszergazdaként. 1995-ben találko- 
zott először a Linuxszal. Amikor csak 
teheti, két kisfiával játszik. 
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A személyi titkárok piacán legalább akkora lépés volt 1. A fedél lecsukott állapotában védi a képernyőt 
az első teljesen linuxos titkár megjelenése, mint a a karcolásoktól. 
PC-piacon a Linux felbukkanása. 2. A fedél nyitott helyzetében (90 fokban 


Előnyök 


Hátrányok 
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Majd egy héten keresztül állva) eltakarja a fényt, ezzel is 
dobogó szívvel vártam, elősegíti a munkánkat. Ha azonban 
hogy a vámosok nem megfelelően egyensúlyozunk 
végre eldöntsék: vele, sajnos visszacsukódik. 

a kezükben tar- 3. A fedelet 360 fokban hátrahajtva a 
tott csomag tar- titkár hátlapjához foghatjuk, és szin- 
talmaz-e valami te jegyzettömbként használhatjuk. 
törvényelleneset, A készüléken kétoldalt (pontosan a 
és ha nem, vám- fogási pontokon) 





kezeljék. A mondás ie 1-1 SHIFT billentyűt helyeztek el, 
szerint az első amelyek nagyon hasznosak a nagybetűk bevitelénél. 
találkozás mindig meghatározó, A képernyő borotvaéles és kalibrálás után pontosan 

ami ebben az esetben valóban fog". Természetesen a háttérvilágítás itt is megta- 
igaznak bizonyult. Az Agendán lálható, mindössze a bekapcsoló gombot 
semmi sem ott van, ahol szükséges hosszan lenyomva tartani. 


A kivitelezésen látszik, hogy az 
Agendát olyan emberek 
tervezték, akik használták a 
versenytársak termékeit, és 
azok hibáit már az első Agenda- 
itt helyezték el — ezek első sorozatban megpróbálták kiküszö- 
látásra feleslegesnek tűnhet- bölni. Ilyen apró, de sok pénzt megta- 
nek, ám hamar j karító ötlet, hogy a dokkoló szétválaszt- 
megtapasztalhatjuk, ható, tehát az így kapott soros kábelt 
milyen hasznos szolgál- külön is használni tudjuk. A soros 
tatásokat takarnak. kábel csatlakozóján szabványos 
A kezdeti furcsaságokat hálózati adapteres csatlakozási 
továbbiak követték: az lehetőség is van. Az alapcso- 
Agenda felépítése magolásban továbbá bőrtok és 
hasonló a Palméhoz, fülhallgató található mikrofonnal, 
a felső része (hátul) Az első bekapcsolásnál szívet 
azonban sokkal melengető látvány végignézni a kis 
szélesebb, hiszen képernyőn a Linux betöltődési folya- 


az ember először 
keresné: például 
a bekapcsológombot 
is az oldalán rejtették 
el. A többi gombot szintén 


ide kerültek a matát: elsőként a démonok indulnak el, 
ceruzaelemek. Nagy örömmel majd az utolsó lépések egyikeként a beviteli mutató- 
fogadtam az elemes eszközt kell kalibrálnunk. Ezután a már jól ismert 


xdm bejelentkező ablakával találjuk 
magunkat szemben, amit később 
ki lehet iktatni. Külön felhasz- 
nálókat és külön arculatokat 
hozhatunk létre akár egy átla- 
gos otthoni PC-n Is. Az alap- 
program viszont, amelyet 

a géphez adnak, leginkább 
használhatatlan. Egyszerűen 


tápellátást, még ha 
azok a jóval drá- 
gább AAA-osz- 
tályból kerülnek 

is ki, de a titkár 
ettől válik igazán 
hordozhatóvá és bárhol 
utántölthetővé. A ver- 
senytárs termékekhez 







képest további ügyes újítás, hogy képtelenség folyamatos műkö- 
a ceruzát (mutatóeszközt) kihúzva désre bírni, állandóan fagy, vagy 5—10 percet gondol- 

a gép önműködően bekapcsol, kodik egy-egy alkalmazás elindítása előtt, után és köz- 
a helyére illesztve pedig kikapcsol, — ben. E ponton jelentkezik a Linux óriási előnye: míg más 
így akár egy kézben tartva is eszközöknél a használat itt véget is ér, és az eszközt 
könnyen tudjuk használni, például visszaküldjük a gyártónak továbbfejlesztésre, az Agenda 
unalmas sorban állás közben. esetében a legfrissebb rendszermagot és a legújabb 

A képernyőt védő fedél három rendszerlemezt egyszerűen letölthetjük az Internetről. 
helyzetben is hasznos: A gyári CD-n adott tájékoztatás segítségével akár egy 
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kezdő Linux-felhasználó is betöltheti az új flasht a gépre. — futtat, hiszen napok alatt javítják a hibákat, és a rajta 
Érdemes figyelni az elemtöltöttségre, mivel a betöltés és — futtatható programok száma 1-2 hónap alatt megkétsze- 
a flash megírása körülbelül 15 percet vesz igénybe, ami reződik. Nemrég jelent meg rá a keresztfordító, így akár- 
soros összeköttetésnél nagyon megter- 
heli az elemeket (tehát ajánlatos 
teljesen feltöltött elemekkel belevágni). 
A feltöltést követően a titkárt az új 
rendszermaggal el kell indítanunk, és 
ismét végre kell hajtanunk a kalibrálási 
folyamatot. Megéri, hiszen cserébe 
teljesen új rendszert kapunk, amely 
jóval használhatóbb lesz és nem olyan 
lassú, mint az elődje. A fejlesztők 
természetesen az 

MS-felhasználókra is gondoltak, és 

a CD-n az adatátvitelhez szükséges 





összes program windowsos változata is megtalálható. melyik kedvenc alkalma- 

Az új programcsomag rengeteg alkalmazást rejt, főleg zásunkat is lefordíthatjuk erre : 

a játékok nagy száma lepett meg, a 47-es villamoson a rendszerre. Én 
például remekül szórakoztam az Aliensszel. Az X- Egyelőre azonban piacot í - 
munkafelületet igényeinknek megfelelően állíthatjuk, igazából csak azok számára 

eldöntve, hogy ikonos (Palm-stílus) vagy általános X- jelenthet, akik a már létező, 

felületet kívánunk-e magunk előtt látni. Hasznos aLunch például ipari alkalmazásukat 

Pad bekapcsolása, ekkor a legfelső sorban az elem nem akarják egy tenyérgépre 

töltöttségét és a pillanatnyi időt vagy a rendszer elindí- újraírni, hanem elegendő 

tása után eltelt időt látjuk. A képernyő legalsó során lefordítaniuk. Ezenkívül 

elhelyezett érintőgombok eléggé értelmetlenre sikerültek, a Linux-őrültek is szívesen 

ugyanis a rájuk rajzolt ábrákból nehéz rájönni, milyen látják, de sok rendszermag- 

szolgáltatást is rejtenek. A határidőnaplót például két nak kell még átfolynia a soros 

D betű jelképezi. A legnagyobb gondot a rögzített beviteli kábelen, hogy az Agenda 

mező hiánya okozza, itt ugyanis nincs egy mindig ké- legyen az egyetlen társunk 

szenlétben lévő billentyűzet, illetve graffiti, amin írni vagy a mindennapokban. 

rajzolni lehetne. A szolgáltatás eléréséhez meg kell érin- Adatok 

teni a billentyűzetábrát, és csak megközelítőleg három Processzor: 66 MHz NEC- 


másodperc eltelte után érhető el a képernyőn a billen- ú 

, . als . j . processzor (32 bites) 
tyűzet. Sajnos rosszul felépített, ugyanis elsőre csak igen Memória: 8 MB RAM 
kevés karakterhez férhetünk hozzá. A számok vagy a 4 16 MB flash 
különleges karakterek használatához rá kell böknünk az Képernyő: 160x.240 LCD 
123 feliratú gombra, és ezután töltődik be a níravörős [rdáj és sörös 
számbillentyűzet, ahonnan a HWR gomb megnyomásával (RS232) kapu 
nyílik lehetőség a kézírás-felismerő program elérésére. Ez 
nagyon komoly nehézség azok számára, akik a Palmnál 
megszokták, hogy a felület mindig rendelkezésre áll, és a 
váltás is jóval egyszerűbb. 
Az adatszinkronizálás egyelőre még igencsak 
gyerekcipőben jár. A CD tartalmaz ugyan rem és tagz 
formátumú GUI-t, amit szó szerint fel kell szenvedni a 
Linuxra, azonban semmi mást nem tesz, mint értékekkel 
lát el egy pppdt-t, és létrehoz egy hurokcsatolót (így 
akár telnetelhetünk az Agendára, bár a fejlesztők az 
rsync-et ajánlják adatátvitelre). Az Agendán levő pppd 
azonban időnként lefagy, valamint a syslogd felemészti a 
memóriát. Ilyenkor csak az újraindítás segíthet, ám mire 
ez a cikk megjelenik, a hibát valószínűleg már egy újabb 
rendszermagváltozat orvosolja. 
Mindent összevetve az Agenda egy nagyon jól összeállí- 
tott készülék, amelynek óriási szerencséje, hogy Linuxot 


További tájékoztatást a Psion Rendszerház Kft. nyújt. 
telefon: 209-3804 

e-mail: psionopsion.hu 

2 http://www.psion.hu 

2 http:/Awww.agendacomputing.com 


E cikkre a Free Document Licence vonatkozik. 
2 http://www.gnu.hurfdl.htmi 


Varga S. Csaba 

(guskaoguska.hu) Az 1.1-es 
Slackware óta linuxozik. Kedvtelései 

i közé tartozik a fotózás és Linux telepí- 
tése PDA-kra. Legszívesebben 

a Gerecsében túrázik barátaival. 
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. A számítógépek ekkora százalékát bántalmazzák 


se 
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22. 
23. 


24. 


a felhasználók: 25 


. A Microsoft készpénztartaléka 2001 májusában 


(milliárd dollár): 30 

Havonta ennyi milliárd dollárral nő a Microsoft 
készpénztartaléka: 1 

2001 folyamán (május 30-ig) a Microsoft-részvények ára 
ennyi százalékkal emelkedett: 62 

Az egyidejűleg lefolytatható beszélgetések száma Marconi 
idejében: 1 

Ugyanez a szám ma: 1 trillió 

Ennyi évente kétszereződik meg ez a szám: 2,5 

A föld felülete négyzetkilométerben: 148 940 000 

Ennyi beszélgetést lehet folytatni négyzetkilométerenként: 
6 714 

A Google ennyi találatot ad az ,open source" 

kifejezésre: 1 930 000 

A Google ennyi találatot ad a , Íree software" 

kifejezésre: 1 150 000 

A Google ennyi találatot ad az , Eric Raymond" névre: 26 100 
A Google ennyi találatot ad az , Eric S. Raymond" 

névre: 30 100 

A Google ennyi találatot ad a , Richard Stallman" 

névre: 54 300 

A Google ennyi találatot ad a , Richard M. Stallman" 
névre: 11 600 

A Google ennyi találatot ad a , Copyleft" kifejezésre: 176 000 
A Google ennyi találatot ad a , GNU/Linux" 

kifejezésre: 446 000 

A Google ennyi találatot ad a , Linux" kifejezésre: 

26 500 000 

A Gartner felmérése szerint a 2000-es év harmadik 
negyedévében szállított kiszolgálók között ennyi százalék 
használt Linuxot: 9 

A Linux piaci részesedése a kiszolgálók területén az IDC 
felmérése alapján: 27 

Az AllNetSearch felmérése szerint a válaszadók ennyi 
százaléka használ Linuxot: 39 

Az IBM Linux bevételének növekedése: 1289 

A Linux szállításából származó bevételnövekedés 
1999—2000: 2890 

A telepített Linux-kiszolgálók várható száma 2005-re: 21 006 000 


Források 

1: Wired News 

2—4: TIME Magazine 

5—7: Martin Cooper, CEO, Array Comm és a mobiltelefon feltalálója 
8: CIA World Factbook 

9: matematika 

10—18: Google, 2001. június 11. 
19: Gartner Group 

20: International Data Corp. 

21: Internet.com 

22: IBM 

23—24: International Data Corp. 


Ők mondták 


Azt feltételezni, hogy a szerző tudja a 
legjobban, mit szeretne az olvasók mind- 
egyike olvasni: butaság, márpedig ez derül 
ki az álláspontjából, 

(John Wilcox, Microsoft-alkalmazott a 
Smart Tags , okos címkék" védelmében) 


Ha a Smart Tags , okos címkék" a másolási 
jogokat vagy az álnok kereskedelmi törvé- 
nyeket nem is sértik, a Web sértetlenségét 
mindenképpen érintik. A Világhálóban 
részben az a vonzó, hogy bárki számára 
lehetővé teszi gondolatainak, érzéseinek 
és véleményének közzétételét cenzúra és 

a céges érdekek figyelembevétele nélkül. 
Azáltal, hogy a Microsoft a Smart Tagset 
hozzáadja a weblapokhoz, az írók és az 
olvasók közé áll. A Microsoft a következőt 
mondta Walter Mossbergnek: , Ez a lehe- 
tőség megkíméli a felhasználókat a hivat- 
kozásokban szegény weblapoktól" . 

A Microsoft valójában azt dönti el, hogy 

a szerzők miként írjanak és a fejlesztők 
hogyan építsék fel a weblapjaikat. 

(Chris Kaminski) 


Józan nemzetek váltak kétségbeesett 
szerencsejátékossá és tették kockára még 
a létezésüket is egy darabka papír(pénz) 
miatt. Ez a mű a leghíresebb csalódások 
történetének kutatását tűzi ki céljául. 

Az emberekre — ahogyan mondani szo- 
kás — jellemző a csordaszellem. Tapasztal- 
hatjuk, hogy csoportosan megőrülnek, és 
csak lassan, egyenként nyerik vissza 

az értelmüket. (Charles MacKay, 1841) 


Nem lehet felébreszteni azt, aki úgy tesz, 
mintha aludna. (V/avajo közmondás) 


Ha a ,legjobb gyakorlatok" üzleti fogalmát 
már a civilizáció hajnalán alkalmazták 
volna, az emberiség sohasem jutott volna 
el a civilizáltságig. A művészettörténet 
foglalkozhatna a rómaiak által kőbevésett 
mosóporreklámokkal, a sixtusi kápolna 
mennyezetén található freskó azt hirdetné, 
hogy , Kölcsönt a Mediciktől!", és a 
Szabadság-szobor fáklya helyett egy tubus 
fogkrémet tartana a kezében. 

(Christopher Locke) 


Az első napi zárás után a pénztárban 24,67 
dollár volt. 24 dollárt költöttünk el hirde- 
tésre, 67 centet tartottunk meg másnap 
reggelre váltópénznek. (John Wanamaker, 
a világ első nagyáruházának megnyitása 
után, Philadelphiában 1861-ben) 





Új termékek 


Pervasive.SOL 20001 

A Pervasíve Software Inc. kiadta 
Pervasive.SOL 20001 névre hallgató 
beágyazott adatbázis-kezelő prog- 
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ramját, melynek segítségével olyan 
alkalmazások építhetők, amelyek a 
Világhálón a felületek között a kód 
megváltoztatása nélkül vándorolhat- 
nak. A több felületet támogató adat- 
bázismotor a rendszermag 2.2-es és 
frissebb változataival használható. 
A 20001 visszamenőleg támogatja 

a létező API-alapú alkalmazásokat 
Linux, NetWare és NT alatt. Továbbá 
független a kiszolgáló, illetve lekér- 
dező változatától, és a beállítások 
megváltoztatása nélkül képes beé- 
pülni. A Pervasive.SOL támogatja 
az ODBC, OLE DB 2.5 és JDBC 2.0 
szabványokat, valamint a Java, 

a Perl, a PHP és más nyelveket. 
Adatok: Pervasive Software, Inc., 
12365 Riata Irace Pkwy., Bldg. 

II, Austin, Texas 78727, 

telefon: 800-287-4383, 

e-mail: info(-Dpervasive.com, 

2 http:/Awww.pervasive.com/ 


Sistina GFS 4.1.1 
A Sistina GFS fürtözött fájlrendszere 
lehetővé teszi, hogy SAN-ban 
elhelyezett kiszolgálók is írhassák, 
illetve olvashassák a megosztott 
SAN-eszközön található fájlrend- 
szert. A 4.1.1 változat új tulajdon- 
ságai között található: GFS rend- 
szermagfolt Linux 2.4.5-hőz, egy 
új 1/0-védelmi módszer (apc ms 
hálózati kapcsoló) és frissített 
indítóparancsfájlok. A GFS 4.1.1-re 
a GNU GPL felhasználói szerződés 
vonatkozik. Letölthető a 
2 http://www.sistina.com/gfs/ 
software/index.html címről. 
Adatok: Sistina Software, Inc., 
1313 Fifth Street SE, Minneapolis, 
Minnesota 55414, 
telefon: 612-638-0507, 
2 http://wwwi.sistina.com/ 


Hz 





ClusterWorX 2.0 

A ClusterWorX 2.0 a Linux NetworX 
kezelőprogramja, amely a rendszer- 
gazdák számára lehetővé teszi, hogy 
a géptelepet egyetlen rendszerként 
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vezéreljék. A felhasználók távolról 
figyelhetik a géptelepet, egészen 

a csomópontok szintjéig. lestreszab- 
ható és bővíthető. A ClusterWorX 
olyan eseménymotort használ, 
amelyben sokféle érték beállítható. 
A program tulajdonságai többek 
között: a látványos megfigyelés lehe- 
tősége, a bővítmények támogatása, 
a háromrétegű alkalmazás, a lemez- 
másolás és a lemezképek kezelése, 
valamint a csomópontok áramellá- 
tásának megfigyelése. 

Adatok: Linux NetworX, 8689 South 
700 West, Sandy, Utah 84070, 
telefon: 801-562-1010, 

e-mail: info olinuxnetworx.com, 

2 http:/Awww.linuxnetworx.com/ 
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Replicator 

Az everStor Inc. bejelentette Repll- 
cator nevű kezelő-, másoló- és men- 
téskezelő programjának a megjele- 
nését. A Replicator központilag intézi 
bármely kiszolgálón vagy munkaállo- 
máson a megadott lemezek, könyv- 
tárak és fájlok kezelését vállalaton 
belül, helyi hálózaton (LAN), WAN- 
on vagy internetkapcsolaton keresz- 
tül. Mivel on-line adatelérést biztosít, 
a Replicator az összeomlás utáni 
helyrehozatal részeként is használ- 
ható. A Replicator a kiszolgálón vagy 
hálózati eszközön helyezkedik el, 

és nem igényli ügyféloldali program 
telepítését. A fájlátvitel TCP/IP- 
kapcsolaton keresztül valósul meg. 
Adatok: everStor, Inc., 1240 N. 
Lakeview Avenue, Suite 150, 
Anaheim, California 92807, 

telefon: 714-970-7511, 

e-mail: sales-9everstor.com, 

2 http:/Awww.everstor.com/ 


Javlin 

A Javlin, az Object Design közép- 
szintű vállalati JavaBean adatgyors- 
tár-kezelője már 1386 Linux-környezet- 
ben is elérhető. Támogatja a 2.4-es 
rendszermagot. A Javlin az adatokat 
elosztott állandó gyorstárak alkalma- 
zásával tárolja és szállítja az alkalma- 
záskiszolgálókhoz. Lehetővé teszi 
továbbá, hogy a működő rendszerhez 


menet közben kategóriákat (catego- 
ries) és tulajdonságokat (attributes) 
adjunk. Ráadásul a Javlin Java-dina- 
mikus adatkeretrendszert nyújt. 
Adatok: Object Design, 25 Mall Road, 
Burlington, Massachusetts 01803, 
telefon: 800-424-9797, 

e-mail: Info-objectdesign 02 
objectdesign.com, 

2 http:/Avwww.objectdesíign.com/ 


PBS Pro 5.1 


Megjelent a Veridian PBS Pro prog- 
ramjának 5.1-es változata. A prog- 
rammal a géptelepek munkaterhe- 
lésének kezelése és a munkafolya- 
matok sorokba rendezése végezhető 
el, és minden Unix-változaton alkal- 
mazható. Az 5.1-es változat tulajdon- 
ságai többek közt: dinamikus terhe- 
léselosztás, rendszereken átívelő 
ütemezés, a feladatok függetlensége 
és láncolása, preemptív feladatüte- 
mezés, a kötegelt és interaktív 
munka kezelése, valamint grafikus 
és parancssoros felület. 

Adatok: Veridian Systems, PBS 
Products Dept., 2672 Bayshore 
Parkway, Suite 810, 

Mountain View, California 94043, 
telefon: 877-905-4, 

e-mail: sales-opbspro.com, 

2 http://www.pbspro.com/ 


MandrakeSecurity 

A MandrakeSoft, a Linux-Mandrake 
kiadója bejelentette a Single Network 
Firewall nevű programot, amely az 
első a MandrakeSecurity márkanév 
alatt megjelenő termékek közül. 

A kifejezetten kis- és középméretű 
vállalatok számára terve- 
zett program a következő 
tulajdonságokkal rendel- 
kezik: könnyen használ- 
ható webes felület, bizton- 
ságos hálózati kapcsolat, 
betörésérzékelés és 
-szűrés. A programra 

a GNU GPL felhasználói 
szerződés vonatkozik. Letölthető a 
2 http://www.linux-mandrake.com 
címről. 

Adatok: MandrakeSoft Inc., 

2400 N. Lincoln Avenue, Altadena, 
California 91001, 

telefon: 626-296-6290, 

2 http:/Awww.mandrakesoft.com/ 
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A hónap szakmai tanácsai 


A rettegett LI" felirat 
Beszereltem egy második IDE-merevlemezt 
a számítógépembe, és telepítettem a Linux 
Mandrake 8.0-t. Újraindítás után megjelent 
a rettegett ,LI" felirat, tehát a LILD négy 
betűjéből csak az első kettő bukkant 
fel. Úgy vélem, a gond forrása az, 
hogy a második merevlemezt szolga- 
ként telepítettem a másodlagos IDE- 
sínre. A rendszerindító lemezrész 
a (/-ként csatolt) hdd6. 
Frederic Mora, fmoraCoattglobal.net 
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Ha a LILO csak a ,LI" feliratot jeleníti 
meg, azt jelenti, hogy a rendszerindító folyamat első 
lépcsője betöltötte a második lépcsőt, de nem tudta 
futtatni. Ezt vagy a lemez fizikai beállításainak összefér- 
hetetlensége okozza, vagy hogy elmozdítottad a 
/boot/boot.b-t a leképezés telepítőjének lefuttatása nélkül. 
A megoldás: a /etc/lrlo.conf fájlban meg kell adni, hogy 
a rendszer hol (melyik lemezen és melyik lemezrészen) 
helyezkedik el. Indítsd a rendszert a vészindító lemezről, 
lépj be rendszergazdaként, hogy szerkeszthesd a lilo.conf- 
ot, és minden elemet oda állíts be, ahol fizikailag elhe- 
lyezkedik (úgy, ahogy a lemezeidet azonosítja a rendszer: 
/dev/hdaX, /dev/hdbY, /dev/hddzZ stb.). A /etc/lilo.conf 
szerkesztése után futtasd le a /sbi n/1lilo -v 
parancsot, amely mindent a lemezre ír, és indítsd újra 
a számítógépet. 


További részletekért nézd meg a 5 http://www.fan.nb.ca/ 


— aa126/troubleshoot-LILO.htm! lapot. 
Felipe E. Barousse Boué, fbarousseopiensa.com 


A wu-ftp nem engedi be a felhasználókat 
A munkahelyemen gondjaim adódnak az FTP-kiszolgálóra 
történő belépéssel. A kiszolgálóra a wu- ftpd-t és az 
anonyítptt telepítettem. A vendég (guest) azonosítót 
létrehoztam, de egy felhasználó sem tud belépni az FTP- 
kiszolgálóra. A jelszó biztosan jó. 

Alan Lim, alan lime2astro.com.my 


Nézd meg a /var//log alatti naplófájlokat, hátha mondanak 
valamit. Használhatod a wu-ftpd -d kapcsolóját, 
ekkor több mindent naplóz a program. Ha az FTP-démont 
saját magad fordítottad, ellenőrizd, hogy nem a PAM 
vagy az árnyékjelszavak használatával van-e gond. Fordf- 
tás közben talán nem derült ki, hogy erre is szükség van. 
Mindenesetre jegyezd meg: nagy biztonsági kocká- 
zatot vállalsz. A wu-ftpd nem tudja végrehajtani a 
chroot ( ) hívást a közönséges felhasználók bejelent- 
kezésekor, ami azt jelenti, hogy a nem névtelen (nem 
anonymous) felhasználók belépés után a teljes rend- 
szert elérhetik. Mindkét gondot egyszerre megoldhatod, 
ha megfontolod egy biztonságosabb FTP-démon 
telepítését, például a ProFTPD-t vagy az NcFTPD-t, 

és a chrooct ( ) -ot beállítod a felhasználó saját 
könyvtárába. 

Chad Robinson, crobinsonarfgonline.com 


Linuxvilág 


Alan, azt is ellenőrizd, hogy a felhasználók által használt héj 
fel van-e sorolva a wu- Étpd beállításai között. Ha nem, 
úgy a felhasználó akkor sem léphet be, ha a jelszó helyes. 
Mario Neto, mneto(2oargo.com.br 


Nincs forrásom, de fordítanom kell 
Telepítettem vagy megpróbáltam telepíteni majdnem 
minden elérhető terjesztést. A legjobb telepítő szerintem 
a Mandrake 7.0, 7.1 és 7.2. A gondom az, hogy nem 
tudom kiválasztani a forráskód telepítését, amikor a 
beállításokat végzem. A rendszer vagy hibát ad, vagy 
fájlok hiányoznak. Elolvastam a readme-fájlokat, több 
könyvet, de még mindig nem jöttem rá, mi a hiba. 

Bill York, bill yorkopipeline.com 


A forrásfájlokat (például a Linux-rendszermag forrását) 
RPIM-ből telepítheted. Fűzd be a forrásokat tartalmazó CD-t, 
lépj be a forrás RPM-ek könyvtárába, és add ki az rpm 
-1 kernel -source-fi le. rpm parancsot. 

Ennyi az egész. A telepítés az RPM-mel (a Mandrake 
esetében) meglehetősen egyszerű, a más fájloktól való 
függőségek a legtöbb esetben szintén figyelembe vannak 
véve. Ha hibaüzenetet kapsz, valószínűleg más összete- 
vőket is telepítened kell, mielőtt megpróbálnád újratelepí- 
teni a csomagot. 

Felipe E. Barousse Boué, fbaroussecopiensa.com 


2.4.2-pánik! 

Megpróbáltam a rendszermagot a 2.4.2-változatra 

frissíteni. Újraindítás után rendszermagpánik következett: 

rTOGt Cs not mounted 

cannot open Toot device "301" o£ 03:01 

Please apperid a correct root - "boot 
öption 

kernel panic vÍs : 

unable tomount root file systemon 03: 01. 

Ugyanazt az eszközt használtam, mint a régi rendszer- 

magnál: a /dev/hda1-et. Ellenőriztem az rdev-vel, és 

rendben volt. Még azt is megvizsgáltam a make 

xconfig-ban, hogy az ext2 nem modulként a rend- 

szermagba van-e fordítva. 

Michael Draczyk, mdiaczykotampabay.rr.com 


Ha valamiképpen nem tetted tönkre a felosztási táblát 
vagy a lemez adatait, el kell tudnod indítani a rendszert 
úgy, hogy a LILO-nak rendszerindítás közben adsz át 
paramétereket. A LILO parancssorba próbáld beírni: 
linux root-/dev/hdal 

Ha működött, nyisd meg a /etc/fstab fájl és ellenőrizd, 
hogy a sajátkönyvtár bejegyzése (a /) helyes-e. Arról 
is győződj meg, hogy a root - sor a /etc/lilo.conf-ban 
a megfelelő lemezrészre mutat-e. 

Scott Maxwell, maxwelkoScottMaxwell.org 


Szolgáltatás hozzáadása a Kickstartból 
A RedHat 7.1 Kickstart fájljának telepítés után lefutó 
részében meg szeretném adni, hogy bizonyos szolgálta- 
tások, például az voserv és az autofs maguktól 
induljanak el. Hogyan lehetséges ez? 

$owmya, sowms(gyahoo.com 
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A chkconfig a megoldás. Add ki a chkconfig 
-he1p parancsot, és nézd meg a lehetőségeket: 
például az NES önműködően elindul a 3-as futási szinten, 
ha kiadod a chkconfig --level 3 nfs on 
parancsot. 

Felipe E. Barousse Boué, fbaroussecopiensa.com 


Elégedj meg ennyi lemezhellyel! 
Lehetséges-e határt szabni egy könyvtár méretének? 
Webkiszolgálót szeretnék létrehozni, és bizonyos 
felhasználók legfeljebb 100 MB-ot foglalhatnának el. 
Hogyan valósítható ez meg? 

Jason Sidabras, sidabra(omsoe.edu 


Tanulmányozd a Linux guota csomagját. Az alkalmazás 
egyik része a rendszermag részeként fut, ezért a rend- 
szermagba vagy a modulba kell fordítani. A másik rész 

a felhasználói térben fut, ezzel vezérelhető a működés 

és felelős a figyelmeztetésekért. 

Chad Robinson, crobinsoncrfgonline.com 


Olvasd el a Ouota mini HOGYAN-ját: 
2 http:/Awww.linuxdoc.org/ HOWTO/mini/Ouota. html. 
Marc Merlin, marc bts(-Ovalinux.com 


BOOTP-kérések figyelmen kívül hagyása 
Nemrég telepítettem egy DHCP-kiszolgálót, és megfigyel- 
tem, hogy egy régi VAX-rendszer, amely a rendszerindí- 
tási adatokat az útválasztó túloldalán elhelyezkedő gépről 
szerzi be, BOOTP-kéréseket küld a kiszolgáló kapujára. 
Létezik valami, amit kikapcsolhatnék a Linuxon, vagy 
olyan beállítás, amely figyelmen kívül hagyja ezeket 

a kéréseket? 

Pat Derosa, pderosa(2ap.org 


Okoznak-e a BOOTP-kérések valamilyen zűrt, vagy egy- 
szerűen csak zavarnak a naplófájlban? Az ISC DHCP dé- 
monnak megadhatod a deny bootp beállítást, mely- 
nek hatására figyelmen kívül hagyja a BOOTP-ügyfeleket, 
de ettől még a kérés naplózódik a rendszeren. Ebben 

az esetben nincs túl sok választásod. Együtt kell élned 
ezekkel az üzenetekkel, hacsak nem érzel magadban elég 
bátorságot ahhoz, hogy megkeresd az ezért felelős sort 
a forráskódban, kitöröld, és újrafordítsd a démont. 

Chad Robinson, crobinsoncrfgonline.com 


Ha az allow-unknown-clients nincs beállítva, 

a DHCP-kiszolgáló nem szolgálja ki azokat a gépeket, 
amelyek nem kifejezetten a MAC-címük szerint vannak 
megadva. Ha a dyvnamic-bootp beállítást hagyod el, 
a DHCP-kiszolgáló nem válaszol a BOOTP-kérésekre. 
Marc Merlin, marc bts(-Ovalinux.com 


Lassú levelezőkiszolgáló 

Levélellenőrzéskor azt tapasztaljuk, hogy a kérés felol- 
dása a kiszolgálón hosszú késleltetéssel megy végbe. 
Néha azonnal sikerül, de legtöbbször túllépi az időkeretet 
(több mint négy percig tart). A ,hosts DNS" és 

": DNS hosts" többféle beállítását is kipróbáltunk, mert 
feltételeztük, hogy a kérdező IP-címét próbálja feloldani. 
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A behívó kapcsolat felépítésekor IP-címet és DNS-kiszol- 
gálót adunk át. 

Az Internet (Sguid) gond nélkül működik. A tapasztalatok 
szerint a levélellenőrzési kapcsolat felépülése után a kö- 
vetkező lekérdezés azonnal sikerül. 

Kevin, kevineoatom.co.za 


Megnézhetitek a levélkiszolgáló gépen, hogy a késlelte- 
tést a DNS okozza-e. Használhatjátok a tcpdump-ot, és 
megfigyelhetitek a ki- és bemenő forgalmat. Így kiderül, 
hogy mi okozza a késleltetést (feltéve, hogy nem a DNS). 
Christopher Wingert, cwingerteogualcomm.com 


Futtassátok a tcpdumop-ot, vagy ha van, az 
ethereal1-t, és hallgassátok le a kapcsolatot. Ebből 
megállapíthatjátok, hogy a DNS késleltetése a ti olda- 
latokon vagy esetleg a levélkiszolgáló oldalán van-e. 
Marc Merlin, marc btsOvalinux.com 


Írnom kell a Windows-lemezrészekre 
Bár mindhárom Windows-lemezrészem be van fűzve 
Linux alatt, csak rendszergazdaként van rájuk Írási 
jogom. Szeretnék saját magamnak is írási jogot, hogy 
futtathassam a VMware-t. Megpróbáltam ezeknek a 
lemezrészeknek a jogosultságait a chmod paranccsal 
rendszergazdaként átállítani, de semmi sem változott. 
Bill Freeto, wfreeto.9earthlink.net 


Használd a mount uid és a gid beállításait (általában 
a guiet-et is érdemes beállítani). Például egy vfat-le- 
mezrész fstab-bejegyzése így nézhet ki: 

/dev/sda3 /dtv/G€ 

syfat user, umask- 

s 002, u.a 5s00 ga d-s00 7 GüLet,; Low 

További adatokért fordulj a mount súgóoldalához. 

Marc Merlin, marc btsOvalinux.com 


Ejnye-bejnye, rossz modul! 

Lehetséges-e, hogy egy hibás modul úgy tönkretegye 

a /proc fájlrendszert, hogy senki sem nézheti meg , oops" 
okozása nélkül? Ha a modul elfelejti felszabadítani a meg- 
szakítást, amikor kikerül a memóriából, a /proc/interrupts 
tönkremegy. Ha elfelejti elengedni az I/0-teret, a 
/proc/ioports nem működik többé. Ha elgépelt modul- 
névvel meghívja az unregister chrdev-et (senki 
nem tenne ilyet, igaz?), a /proc/devices megsemmisül. 
Amikor ilyen események történnek, megmenthető-e 

a rendszer, vagy az újraindítás az egyetlen lehetőség? 
Bill McConnaughey, mcconnaukobiochem.wustl.edu 


A hibás modul bármit megtehet — végtére is a rendszer- 
mag részeként fut. Ha olyasmivel találkoznék, amiket 

te írtál le, azonnal újraindítanám a rendszert. Elméletileg 
lehetséges a hiba kijavítása újraindítás nélkül: olyan 
modult kell írni és telepíteni, amely helyreállítja az első 
által okozott károkat. Ez azonban gyakorlatilag lehetetlen, 
hacsak nem tudod pontosan, hogy mi történt, és még 
akkor sem feltétlenül egyszerű. 

Scott Maxwell, maxwelkoScottMaxwell.org 


. Láttuk-hallottuk 


A Linux Journal honlapján 
számtalan gond megoldá- 
sához találhattok további 

segítséget. A Sunsite 


tüköroldalait, a gyakran 
feltett kérdéseket és az 
egyéb útmutatásokat a 


2 www.linuxjournal.com 

honlapon olvashatjátok el. 
A rovatban közzétett 
válaszokat Linux-szakértők 


kis csapata készítette el. 


lovábbi kérdéseiteket 


szívesen fogadják 
(angol nyelven) a 


2 www.linuxjournal.com/ 
[7-issues/techsup. htmi 
címen, ahol csak egy 
kérdőívet kell kitöltenetek, 
de a bts(ossc.com címre 
levelet is írhattok. A levél 
tárgyában szerepeljen 


a , BIS" kulcsszó. 
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A biztonság 


KA 


Napjaink egyik legfontosabb kérdését járjuk körül: mit tehetünk munkánk, 
levelezésünk biztonsága érdekében. 


A számítógépek biztonsága növelésének 
kérdése egészen a kezdetekig nyúlik 
vissza, amikor a gépek még szobányi 
méretűek voltak. A fejlesztők elsősorban 
üzembiztonságra törekedtek, ha valami 
mégis elromlott, az alkatrészeket kipa- 
kolták fehér lepedőkre és megpróbálták 
megtalálni a hibát. Ebben az időben 

a gépek állásideje még több volt, mint 

a hasznos számításokkal töltött idő. 
Miután az üzembiztonságot nagymér- 
tékben sikerült megemelni (több időt 
dolgozott a gép, mint amennyit állt), 

az adatok j ü 
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és a folyamatok biztonságát kellett 
megoldani. Mivel egyre több felhasz- 
nálót kellett kiszolgálni, a felhasználók 
biztonsága szintén égető feladattá vált. 
Lassan elterjedtek a PC-k (Personal 
Computer - személyi számítógép), 
amelyek egyszerre csak egy embert 
szolgáltak ki, és hálózati kapcsolat nél- 
küli különálló egységek voltak. Ezeknél 
— viszonylag kis méretük következté- 
ben - az adatok védelme mellett a biz- 
tonság már fizikai biztonságot is jelen- 
tett. Nem is 


olyan régen kezdődött el a PC-k háló- 
zatba kapcsolása, amivel ismét rengeteg, 
a régi szép nagygépes időkben már 
felfedezett és megoldott gonddal talál- 
hattuk újra szemben magunkat. Rend- 
szerünk, adataink, felhasználóink 
védelmét úgy kellett megoldani, hogy 
személyes adataikhoz rajtuk kívül senki 
se férhessen hozzá, a rendszerben azon- 
ban olyan részek is legyenek, amelyeket 
mindenki használhat. Egy helyi hálóza- 
ton, feltéve, hogy a rendszer minden 
biztonsági követelménynek megfelel 
(ilyen azért nem nagyon akad, kivétel, 
ha gépünket kikapcsolt állapotban 
a pincében befalazva tartjuk!), a fel- 
használó és jelszava a ,leggyengébb 
láncszem". A felhasználók sokszor 
nagyon egyszerű jelszavakat hasz- 
nálnak, például a kedvesük, gyer- 
mekük, aranyhaluk nevét, esetleg 
a születési dátumokat. Így aztán 
ne is csodálkozzon senki, hogy 
a hálózaton egy másik ember is 
hozzáférhet a legtitkosabb 
adataihoz, és ez akár az állá- 
sába is kerülhet, például mert 
nem védte megfelelően a cége 
adatait. Ezekután megjelent az 
Internet és elszabadult a pokol. 
Az Internet sok-sok alhálózat- 
ból összeálló nagyhálózat. 
Míg helyi hálózatunkon öt, 
tíz, esetenként több száz gépet 
kellett csak kordában tartani, 
úgy az Internet megjelenésével 
számtalan gép kapcsolódhatott 
egymáshoz. Ennek a legnagyobb 
hátránya az, hogy a különféle 
rendszerek gyenge pontjait 
kihasználva szinte bármit meg- 
tehetünk, amit nem szégyellünk. 
Nap mint nap hallani a híreket 
különféle rendszerfeltörésekről, 
honlapcserékről, vírusfertőzésekről. 
A hibákat az emberek elsősorban ott 
követik el, hogy nem törődnek a biz- 
tonsággal, vagy ha törődnek is vele, 
csak másodlagos szempontként veszik 
figyelembe. Mennyi kellemetlenségtől 
kímélhetnénk meg magunkat, ha alkal- 
maznánk az alapvető megoldásokat! 
Csontos Gyula 





A Netfilter megszelidítése 











Meg kellene erősíteni várkastélyunk árkait? Nézzük meg, hogyan használhatjuk 
a Netfiltert és az IP Chainst otthoni rendszerünk biztonságának növelésére. 





ratulálok azoknak, akik a mélyvízbe fejest ugorván a 
fa 2.2.x (netán 2.0.x) rendszermagról a 2.4.x-re váltottak. 

Ha mi, akárcsak sokan mások, valamilyen tűzfalat 
futtatunk az IP Chains vagy az ipfwadm segítségével, parancs- 
fájljaink vélhetően egyelőre megfelelőek. Ám előbb vagy utóbb 
valószínűleg tovább szeretnénk lépni. 
A 2.4.x változatszámú rendszermagokba Rusty Russell, a Linux 
csomagszűrő guruja és programozócsapata beépítette a 
Nettfiltert, ami az ÍP Chains vagy ipfwadm kiváltására készült. 
Szerencsére a Netfilter továbbra is lehetővé teszi, hogy IP 
Chainst vagy ipfw adm-ot használjunk, amíg meg nem szokjuk 
az IP Tables használatát. Mindezt egy modulba épített rétegen 
keresztül valósítja meg. A Netfilter azonban olyan sok érdekes 
újítást tartalmaz, hogy valószínűleg mi is minél előbb a szabá- 
lyok átalakításán leszünk. Egy dologra viszont oda kell figyel- 
nünk: amennyiben az ipchains vagy ipfwadm modulokat 
betöltjük, ezt nem tehetjük meg az ip tables-szel (és vice 
versa). Szóval mindent vagy semmit. Mindenesetre ennek a 
cikknek az elolvasása után a változtatások elvégzése magától 
értetődő lesz. 
Azok, akik csak most ismerkednek a csomagszűréssel, nyugod- 
tan hagyják ki az IP Chains-fordításokat, és csak az IP Tables- 
példákkal ismerkedjenek. Bár nem fogjuk megadni az összes 
IP Chains parancs és lehetőség IP lables-fordítását, de írásunk 
talán jó ötleteket adhat, ha a csomagszűrő tűzfal összeállításá- 
hoz IP Chains parancsokat szeretnénk IP lables parancsokká 
alakítani. 
Az egyik ok, amiért érdemes Nettfilterre váltani, az, hogy 
(az IP Chainsszel vagy az ipfwadm-mal ellentétben) állapot- 
függő (stateful). Hogy ez mit jelent? Azt, hogy képes nyomon 
követni a kapcsolatokat és engedélyezni a kimenő kérelmekre 
érkező bejövő válaszokat anélkül, hogy eközben réseket ütne 
a tűzfalon. A kapcsolat követése itt mindig csak egy bizonyos, 
ideiglenes lyukat készít a válasz számára, amit kizárólag az 
adott kiszolgáló használhat. Nemsokára megismerhetjük a 
működését. A dolog hátulütője, hogy a kapcsolatkövetés ideje 
alatt a Netfilter egy kicsit több memóriát fogyaszt, mivel a 
kapcsolatokat a memóriában követi nyomon. Így elképzelhető, 
hogy 4 MB memóriájú 386-16 gépünk (a szűrési követelmények 
függvényében) már nem lesz elegendő a feladathoz. 


Háttér 

A jelenlegi Netfilter-megvalósítás két részre bomlik: a Netfilter- 
ként ismert rendszermagrészre, illetve a felhasználói eszköz- 
tárra, amely kapcsolatot tart a Netfilterrel, és elkészíti a sza- 
bálygyűjteményeket, valamint az IP Iables-adatokat. A csomag- 
szűrő tűzfalhoz mindkettőre szükségünk lesz. 

Először összpontosítsunk a rendszermagrészre. A Netfilter 
támogatja az IPv4 és IPv6 protokollokat, ugyanakkor másfé- 
léket nem képes szűrni, ezért tűzfalunk nem futtathat IPX, 
Applelalk vagy más efféle protokollt, amit esetleg IP lables- 
szabályok kijátszására fel lehetne használni. lIovábbá nem 
szabad engedélyeznünk a gyorskapcsolás (Fast-switching) 
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lehetőséget sem. Ezt a kapcsolót a rendszermag Beállítás 
menüjében hálózati lehetőség almenüjének vége felé találjuk. 
A kód a gyorskapcsolást az IP-verem alacsony szintjén enge- 
délyezi. A Netfilter-kód ennél sokkal magasabb szinten helyez- 
kedik el, így a gyorskapcsolás tulajdonképpen egyszerűen 
megkerüli őt. 


A rendszermag beállítása 

Ahhoz, hogy elkezdhessünk dolgozni a Nettfilterrel, először is 
a rendszermagot Netfilter-támogatással le kell fordítanunk. 

A legtöbb terjesztés alapértelmezés szerint támogatja, de előbb 
tegyünk egy rövid próbát. Haaz ip tables modult be tud- 
juk tölteni, ezzel a fejezettel nem kell foglalkoznunk. Rendszer- 
gazdaként futtassuk a következő parancsot: 

modprobe ip tables 

Ezután gépeljük be: 

lsmod ] grep ip tables 

Ha az ip tables feltűnik, rendben vagyunk. Ha nem, akkor 
sem kell megijednünk, a rendszermag újrafordítása rendkívül 
egyszerű. Írásunk ugyan nem fogja ismertetni a teljes újrafor- 
dítási folyamatot, de számos forrást találhatunk, ami segíthet 
bennünket ebben a lépésen. Ha kiderül, hogy rendszerma- 
gunkat újra kell fordítanunk, a következő oldalon lévő szél- 
jegyzet nyújthat segítséget abban, hogy mit is illesszünk be 

a rendszermagba. 


Netfilter-modulok 

Ha az összes modult lefordítottuk és feltelepítettük, vala- 
mennyi önműködően be fog töltődni, ha beviszünk valami- 
lyen szabályt, kivéveazip tables, ip nat ftpés 

ip conntrack ftp csomagokat. Ezeket vagy kézzel vagy 
IP lables indító parancsfájlunk részeként tölthetjük be. 

A Nettfilter teljes fordítása és telepítése rengeteg modult készít, 
amiből egy átlagos tűzfal azonban csak keveset használ. Azok 
a modulok, amelyek nem töltődnek be, természetesen memó- 
riát sem fogyasztanak, így nem kell aggódnunk miattuk. 


Az IP Tables beszerzése és telepítése 

Elképzelhető, hogy terjesztésünk már eleve tartalmazza az 

IP lablest, sőt, amennyiben a rendszermag Netfilter-támoga- 
tással bír, ez majdhogynem biztosra vehető. Amennyiben a leg- 
frissebb változatot szeretnénk, a Netfilter honlapjáról letölthet- 
jük (3 http://netfilter.filewatcher.org). Töltsük le és telepítsük 
az INSTALL fájl utasításainak megfelelően. A következőkben 
feltételezzük, hogy a magforrások az /usr/src/linux könyvtárban 
találhatók. Ha mégsem, a következő utasításokat a könyvtár- 
nak megfelelően módosítsuk. Amennyiben esetleg a 

make pending-patches KERNEL DIR-/usr/src/linux 
vagy a 

make patch-o-matic KERNEL DIR-/usr/src/linux 
parancsokat le kell futtatnunk, akkor folytatás előtt újra kell 
fordítanunk a rendszermagot. Egyébként a fenti két parancsot 
figyelmen kívül is hagyhatjuk. A patch-o-matic többnyire 
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különleges igényű felhasználóknak készült, és nemigen 
tartozik az átlagos felhasználók érdeklődési körébe. 


Futtatás után 

make KERNEL DIR-/usr/src/linux 

majd indítsuk a következő parancsot: 

make install KERNEL DIR-/usr/src/linux 
Most már készen állunk az IP lables használatára. 


Az IP Tables parancssor 

Az IP lables parancssor hat részre bontható. Az első rész az 
iptables parancs, amit a későbbiekben részletezünk; a máso- 
dik a táblameghatározás, a harmadik pedig a láncnév. A negye- 
dik rész a szabálymegadás, amely az IP- vagy ICMP-fejlécek 
között kereső parancs része, de néhány esetben szabályszám 

is lehet. Az ötödik rész a cél, végül a hatodik a célérték. Az álta- 
lános parancssor tehát a következőképpen néz ki: 

iptables [-t table] -ACDI CHAIN rule-spec 

s -] TARGET [target option] 

A fenti sor ugyan nem minden varázslatra igaz, viszont elég 
általános. A -L kapcsolót is igen hasznosnak találhatjuk majd 
(később még szó lesz róla a cikkben néhány más parancssor- 
változatról). 


Táblák és láncok 

A Netfilter három számunkra érdekes táblát tartalmaz. Ezek: 

a filter (szűrő), a nat (hálózaticím-átalakítás) és a mangle 
(ferdítő) táblák. Cikkünkben valahányszor csak valamilyen 

IP Iables-varázslatot mutatunk be, mindig megadjuk a hozzá 
tartozó táblát is. Egyébként — amennyiben nem adunk meg 
táblát — a filter tábla az alapértelmezett. Éppen ezért, ha 
nem adunk meg táblát és a szabály hibát jelez, adjunk meg 
táblameghatározást és próbáljuk meg még egyszer. 

Minden táblához egy bizonyos lánc tartozik. A felhasználó által 
készített láncok mindig egy, és csakis egy táblához tartozhat- 
nak. Látni fogjuk, hogy néhány beépített lánc több mint egy 
táblához tartozik, de ez csakis a beépített láncokra áll. Egy 
másik táblából származó láncot nem keverhetünk bele egy 
felhasználó által készített láncba. 

Az alap csomagszűrő tábla a filter, amely az INPUT, FORWARD 
és OUTPUT beépített láncokkal rendelkezik. A filter táblába 
kerülő felhasználói láncokhoz adott szabályok csak olyan célokra 
vonatkozhatnak, amelyek érvényesek az INPUT, FORWARD vagy 
OUTPUT láncokban. A filter táblán áthaladó csomagok az 
INPUT, FORWARD vagy OUTPUT láncok valamelyikén (és csakis 
azon az egyen) haladnak keresztül. Az INPUT lánc akkor kerül 

a képbe, ha a csomag célja a helyi rendszer. A FORWARD lánchoz 
akkor jut el a csomag, ha a helyi rendszeren keresztül egy másik 
rendszerhez továbbítódik. Végül az OUTPUT lánchoz egyedül 
olyan csomagok kerülhetnek, amelyek a helyi rendszerről szár- 
maznak és külső célra irányulnak. Minden csomag csak egyetlen 
lánchoz kerülhet — szemben az ÍP Chains-megoldással, amely az 
input és output, illetve a forward láncot is használta, ha egy 
csomag keresztülment a rendszeren. 

Figyeljük meg, hogy az előző bekezdésben az IP lables láncok 
nevei nagybetűvel szerepelnek, míg az IP Chains láncnevek 
kisbetűsek. Szándékosan van így, és az írásmód változását 
hivatottak jelezni. 

A nat tábla a hálózati cím átalakításáért felelős. Beépített láncai 
a PREROUTING, a POSTROUTING és az OUTPUT. Minden lánc 
egyetlen adott célt engedélyez. A PREROUTING a DNAT célt 
fogadja, a maradék láncok pedig az SNAT célt. Nemsokára 
kicsit bővebben is megismerkedünk velük. 
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A mangle (ferdítő) tábla az ÍP-címen kívül a fejlécben található 
adat eltorzítására szolgál: megjelölhetjük vele a csomagokat, 
megváltoztathatjuk a szolgáltatás típusát (105), vagy akár az 
életciklusértéket (time-to-live avagy tt1) is. 


Szabályok 


A szabálymeghatározó rész minden iptables parancs szíve. 
A szabály helyes felépítésével pontosan megadhatjuk, hogy 
mely csomagokra vonatkozzon. Ez a kiválasztó ismérv annyira 
általános vagy egyéni lehet, amennyire csak szeretnénk. A leg- 
több esetben nem árt, ha egyéni meghatározásaink az általáno- 
sabbak előtt következnek. 


Ebben a cikkben nem fogom túl sokáig boncolgatni a szabá- 





lyokat, éppen csak hozzájuk adom a szükséges többszörös 
lehetőségeket (melyek közül néhánynak saját külön lehetőségei 
is vannak). Mindenkinek magának kell figyelnie arra, hogy a 
szabálynak értelme is legyen, például ne adjunk meg kimenő 
csatolófelületet egy input láncban, mivel a szabályhoz itt soha 
nem fog semmilyen találat tartozni. A parancs szerkezete lehe- 
tővé teszi, hogy lehetetlen szabályokat írjunk le, ami azonban 
semmiképpen sem túl jó ötlet. Ha kétségeink támadnak egy 
adott szabállyal kapcsolatban, célként adjuk meg a naplócélt, 
majd keltsünk olyan forgalmat, amely összeillik az adott sza- 
bállyal, hogy lássuk, valóban végrehajtódik-e. Ha szabályelle- 
nőrző eszközre van szükségünk, vessünk egy pillantást a 
SendíP-re (2 http:/www.earth li/projectpurple/progs/sendip.html). 


Célok 

A Netfilter négy beépített céllal rendelkezik: ACCEPT (elfogad), 
DROP (dob), OUEUE (sor) és RETURN (visszatérés). A DROP cél az 
ipchains DENY célját váltja fel. Az összes többi cél a célként 
betölthető modulokon alapul. Ide tartozik a REJECT (elutasít), 
a LOG (naplóz), a MARK (jelöl), a MASOUERADE (álcázás), a 
MIRROR (tükröz), a REDIRECT (átirányít) és a TCPMSS. A vég- 
célok (terminal), mint például az ACCEPT, a DROP, a REJECT, 
a MASOUERADE, a MIRROR és a REDIRECT, mindig befejezik 

a láncot, a LOG viszont nem vet neki véget. 

A LOG ugyanakkor nem is fogadja, utasítja vagy veti el 

a csomagot, így a lánc értelmezése folytatódhat. Ezért az 








ipchains -1 kapcsoló tulajdonképpen szintén egy cél-, de 
nem végtípusú. A lánc maradék része is végigfut, mígnem 

egy házirendszabályt talál. 

A házirendszabály a teljes láncra vonatkozó, teljes körű 
szabály. Ha FORWARD láncunk egy DROP szabályt tartalmaz, és 
semmilyen más korábbi szabály nem jelzett találatot a láncban, 
a csomag ennél a szabálynál fog végezni. A házirendszabály 
csak valamelyik beépített cél lehet, a REJECT szabályt azonban 
nem adhatjuk meg házirendszabálynak. 


Példák 

Mielőtt belekezdenénk a példákba, állítsunk be néhány dolgot. 
A parancsfájlok hasznos dolgok, különösen amelyek az rc.local 
könyvtárban futnak (bárhol legyen is a rendszerünkön). Írjunk 
hát példánk részeként egy rc.iptables parancsfájlt, hogy már 
rendszerindításkor kapcsoljuk a Nettfiltert (lásd az 1. listát — 
megjegyzés: minden iptables szabály $IPT-vel kezdődik és 
sortörés nélkül kell folytatódnia a sor végéig, azaz a következő 
parancsig. Semmilyen szabályt sem szabad a sor közepén 
megtörni!) 

Beállítottunk néhány indításhoz szükséges változót, leállítottuk 
a forgalom továbbküldését a rendszeren, majd beillesztettünk 
néhány modult. Az ip tables modul teszi lehetővé a szá- 
munkra, hogy szabályokat kezdjünk el írni. Azip nat ftp 
modul akkor szükséges, ha a NAT táblát használjuk (a később 
ismertetésre kerülő) SNAT vagy MASOUERADE szolgáltatáshoz, 
ugyanakkor működő FIP-t is szeretnénk. Azip conntrack ftp 
az FIP-kapcsolat követését teszi lehetővé. Ez a modul önmű- 
ködően betölti az ip conntrack modult, mivel tőle függ. 

Ha nincs szükségünk az ip conntrack ftp modulra vagy 
nem akarjuk betölteni, de azt szeretnénk, hogy a tűzfal IP-töre- 
dezettségmentesítést végezzen (ami jó dolog), az 

ip conntrack ftp-tazip conntrack-kal 
helyettesíthetjük. Nézzük tovább a parancsfájlunkat: 

for i in filter nat mangle 

do 

SET a 54 5sB 

atET sé. Si ex 

done 

A fenti sorok minden szabályt kiürítenek a -F értékeként 
megkapott láncban. Mivel a -F értékként semmilyen láncnevet 
nem kapott meg, az összes láncot ki fogja üríteni. Figyeljük 
meg, hogy ez a ciklus miatt minden táblán végrehajtódik. 

Ha nem használunk egy adott táblát, kitörölhetjük a listából. 
Ahogy az egyes ciklusok végrehajtódnak, megfigyelhetjük, 
hogy új modulok töltődnek be: először az ipbtables filter 
modul, majd az iptables nat és végül az 

iptables mangle. Ha a mangle kulcsszót eltávolítjuk a 
ciklusból, az iptables mangle modul nem fog betöltődni. 

A nem használt modulokat tetszés szerint el lehet távolítani. 

Ip Chains használata esetén ugyanehhez a feladathoz valami 
ilyesmit kellett volna beírni: ipchains -F -X. 

Mielőtt folytatnánk, tételezzük fel a következő felállást: van 
egy otthoni felhasználó és három rendszer, amely az Internetet 
a mi tűzfalként működő PC-nken keresztül éri el. Az elérés 
betárcsázás-alapú (ppp0O0). Ha tényleges beállításunk ettől 
eltérő, helyettesítsük a megfelelő külső csatolóeszközt a pppO 
helyére. A rendszerek saját hálózatukon kívül semmilyen az 
eth0-n található szolgáltatást nem ajánlanak fel, ugyanakkor 
azt szeretnénk, ha az összes belső rendszer képes lenne ször- 
fözni a Világhálón. Ehhez az első példához tételezzük fel, hogy 
az ISP-től kapott dinamikus IP-címmel rendelkezünk (lásd 

a 2. listát a 20. CD-n). 
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Mivel tűzfal-számítógépünk egyben munkaállomás is, saját 
forgalmát is maga szabályozza. Bár tűzfal esetében nem túl jó 
ötlet (az ilyen feladatokat többnyire külön rendszerek végzik), 
egy otthoni hálózatban azért nem igazán van szükségünk 
külön? tűzfalra. Ezt figyelembe véve emlékezzünk rá, hogy 

az IP lables és IP Chains közti egyik különbség az INPUT, 
FORWARD és OUTPUT láncok eltérő kezelése. Az IP Chains 
használatakor a FORWARD-ra kerülő csomagok az INPUT-ról 
érkeznek, és miután keresztülhaladtak a FORWARD-on, az 
OUTPUT-ra utaznak, ezért a szabályainkat az INPUT láncban 
elhelyezve a FORWARD lánc csomagjait is máris biztonságban 
tudhatjuk. Az IP Iables megvalósítás az INPUT-ot ellenben 
csak a helyi rendszerhez használja, a FORWARD-ot pedig a többi 
rendszerhez. A mi esetünkben mind a FORWARD, mind az 
INPUT láncokban azonos szabályokra lesz szükségünk. Hogy 

a szabályokat ne kétszer kelljen leírnunk, készítsünk egy 
teprules nevű felhasználói láncot és az INPUT és a FORWARD 
láncból egyaránt hívjuk meg. Parancsfájlunkat így folytassuk: 
SIPT -t filter -N tcprules 

A szabály IP Chains-megfelelője ugyanez lenne, kivéve a -t 
szűrőkapcsolót: 

ipchains -N tcprules 

Most lássunk egy kis Netfilter-varázslást. Meg szeretnénk aka- 
dályozni, hogy a rendszerünkhöz mások kívülről hozzákapcso- 
lódjanak, de engedélyezni szeretnénk saját felhasználóink 
kifelé irányuló kapcsolatait. A következő szabályok kihasznál- 
ják a Netfilter kitűnő képességeit: 

SIPT -t filter -A tcprules -i pppt -m state 
5--state ESTABLISHED, RELATED -j ACCEPT 
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SIPT -t filter -A tcprules -i 
5.--state NEW -j ACCEPT 

SIPT -t filter -A tcprules -i pppt -m state 
5--state NEW, INVALID -j DROP 

Ha IP Chains alatt szeretnénk valami hasonlót elérni, ahhoz 
leginkább a syn csomagok elutasításával juthatunk el, a ppp- 
csatolófelületen: 

ipchains -A input -i pppt ! -y -j DENY 

Ezen a ponton érdemes néhány gyors megjegyzést közbe- 
szúrni: a "!" megfordítja (negálja), ami utána következik, így 

a ! ppp:i ugyanaz, mintha minden más csatolót meghatároz- 
tunk volna (a mi otthoni felhasználónk esetében ez a 10 

és az eth0). A "4" a ppp végén azt jelzi a Netfilternek, hogy 
az adott szabály az összes ppp-csatolófelületre érvényes. 

Az ESTABLISHED, RELATED, NEW és INVALID értékek közül 
az ESTABLISHED engedélyezi a forgalom folytatását, ha koráb- 
ban már mindkét irányban volt forgalom. Az ESTABLISHED 
nyilvánvalóan minden ICP-kapcsolatra értelmezhető, de UDP- 
kapcsolatra is vonatkozhat, például DNS-lekérdezésekre és 
traceroutes kérelmekre, vagy akár az ICMP pingre. Az első 
lépés annak kiderítésére, hogy a kapcsolat létezik-e már a kap- 
csolatkövetési táblában (/proc/net/ip conntrack), a csomagok 
ellenőrzése. Ha igen, a láncok nem futnak le, az eredeti szabály 
lesz érvényes, így a csomag áthaladhat. Néhány esetben a 
Netfilter akár gyorsabb is lehet, mint az elődei, hála ennek az 
ellenőrzésnek. A RELATED érték számos dolgot takar: működő 
FIP-re lehet alkalmazni, amely a megfelelő kapcsolatokat 

a húszas kapun hozza létre, de a TCP-kapcsolathoz tartozó 
ICMP-forgalomra is alkalmazható. A NEW érték azokra a cso- 
magokra vonatkozik, melyeknek csak a SYN bitjük van beál- 
lítva (és ACK bitjük nem működik). Az INVALID azokra a 
csomagokra vonatkozik, amelyek az XMAS fa-keresés (XMAS 
tree scan) szerint hibás beállításokkal rendelkeznek. 

A fenti szabályok lehetővé teszik, hogy a belső rendszerek 
belsőleg és külsőleg is átjuttathassák az új kapcsolatokat, 
ugyanakkor ne engedélyezzék a kívülről jövő vagy hibás 
csomagokat. 

Mivel a hálózatunkat álcázás (masguerading) segítségével 
szeretnénk a tűzfal mögé tenni, be kell állítanunk pár álcázási 
szabályt. Ez sokban hasonlít az ÍP Cainsben használt folyamat- 
hoz. Feltételezve, hogy belső hálózatunk címe 192.168.0.0/24, 

a következő szabályt kell használnunk: 

SIPT -t nat -A POSTROUTING -o ppp- 

m.s 192.168.0.0/24 -d 0/0 -j MASOUERADE 

Az egyetlen különbség, amit az IP Chainst használóknak 
feltűnhet, hogy -o ppp-- utasítást használtunk -i ppp- 
helyett. Ez azért van, mert míg IP Chains alatt a csatolófelüle- 
tekre a -i segítségével hivatkozhatunk, ÍP lables alatt a -i a 
bemeneti (input) csatolófelületet jelenti, a -o pedig a kimeneti 
csatolófelület jele. Ha a fenti sorba véletlenül "-i ppp--"-t 
írunk, az álcázás nem fog elindulni, hiszen a szabály soha nem 
fog semmivel sem egyezni. 

Fejezzük be a parancsfájlunkat, és a fenti TCP-szabályokat 
szükség szerint illesszük be, hogy beindíthassuk a szűrőtábla- 
rendszabályokat és újraindítsuk az ip forwarding 
szolgáltatást: 

SIPT -t filter -A INPUT -j tcprules 

SIPT -t filter -A FORWARD -j tcprules 

SIPT -t filter -P INPUT DROP 

SIPT -t filter -P FORWARD DROP 

echo 1 5 /proc/sys/net/ipv4/ip forward 
Alapértelmezés szerint a szűrőtábla szabályok ACCEPT-érté- 
kűek. A Netfilter elegáns megoldásai miatt azonban - az IP 
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Chainsszel ellentétben - így is megfelelő biztonságot nyújt. 
Ha visszagondolunk az eddig alkalmazott szabályokra, láthat- 
juk, hogy az alapértelmezett rendszabály semmiféle ártalmat 
nem okoz; sőt, eszerint tulajdonképpen semmi sem érkezhet 
meg. Néhányan azonban úgy vélekednek, hogy jobb mind- 
inkább a biztonságra törekedni, így például dobhatunk min- 
dent, ami nincs már korábban megcímezve. Figyeljük meg, 
hogy a rendszabályoknak nincsen céljuk, tehát nem is hasz- 
nálhatjuk a -j kapcsolót. Ez az, amiért rendszabályok csak 
beépített célok lehetnek. A rendszabályok nem igazi célok. 
Ha tényleg REJECT-típusú rendszabályt szeretnénk, valami 
ilyesmit kell beírnunk: 

SIPT -t filter -A tceprules -i ppp-t 
5.-reject-with icmp-host-unreachable 
A fenti szabály a ppp csatolófelületen bejövő összes csomagra 
érvényes lesz. Ügyeljünk rá, hogy utolsóként szerepeljen, 
különben semmi sem fog átjutni ezen a szabályon. 

Bár kiadhattunk akár egy 

SIPT -f filter -A tcecprules -]j REJECT 
5.-reject-with icmp-host-unreachable 

szabályt is, azt tapasztaljuk, hogy a saját belső gépeink is 
blokkolva lesznek, mivel ez a szabály az összes csatolófelületre 
vonatkozik (ezt a rendszabályok használatakor is figyelembe 
kell venni). 

Ezen a ponton megemlíteném, hogy az IP Chainsszel ellentét- 
ben a megfelelő cél megtalálása nem feltétlenül jelenti a lánc 
végét is. Ha például a tcprules-ban a következő szabályt 
használjuk: 

SIPT -t filter -I INPUT -p ICMP -m icmp 
s.-1cmp-type echo-reguest -m limit 

5.-limit 1/minute -j LOG --1log-prefix 

s "TCMP-packet " 

akkor a következő szabály (amely a csomaggal vagy egyezik, 
vagy nem) szintén végrehajtódik. Amennyiben a szabály nem 
ejti, utasítja, fogadja el vagy sorolja be (DUEUE) a csomagot 
és nem visszatérés (REIURN), akkor a lánc folytatódni fog. 
Az IP Chains-használók figyelmét felhívnám rá, hogy IP lables 
alatt a LOG önmaga is cél, és nem egyszerűen csak egy -1 kap- 
csoló a cél mögött, mint az IP Chainsben. Ez bizonyos rugalmas- 
ságot nyújt, amint az a fenti szabályból is látható. Az egyezés 
korlátozása megakadályozza, hogy valaki rossz szándékkal 
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túlterhelje a naplónkat. A LOG cél az üzeneteihez előtagot is 
fűzhet, így a grep paranccsal a naplókból könnyen kikereshetők. 
Minden IP Chains-felhasználó jól tudja, hogy a láncokat a 
következőképpen lehet megtekinteni: 

ipchains -L -n 

Nettfilter használatakor azonban a láncokat tábláról táblára kell 
megnéznünk: 

iptables -t filter -L -n 

iptables -t nat -L -n 

iptables -t mangle -L -n 

Használhatjuk a -v kapcsolót is, hogy az egyes szabályokról 
részletesebb ismeretekhez jussunk: 

iptables -t filter -L -nvy 

Következzék egy példa, amely az új SNAT- és DNAT-képessége- 
ket mutatja be. Ha valaki érti a mangle táblát és az is világos 
számára, hogy mire való, annak valószínűleg nemigen van 
szüksége cikkünk elolvasására, és hamarosan elküldi nekem 
azokat a hibákat, amelyeket észrevett. 

Ebben a példában azt fogjuk feltételezni, hogy otthoni felhasz- 
nálónk széles sávú eléréssel rendelkezik, és az etho-t használja 
a belső hálózathoz, illetve az eth1-et a külsőhöz. A parancsfájl 
az előzőekhez hasonlóan indul, de amikor a tcprules 
szabályokhoz érünk, egy kicsit mást fogunk alkalmazni. Jelen 
esetben tételezzük fel, hogy a felhasználó a 209.127.112.17 
számú állandó IP-vel rendelkezik, ami egy kicsit megváltoztatja 
a dolgokat (lásd a 3. listát a 20. CD-n). Azt is elképzelhetjük, 
hogy a felhasználó saját tartománynévvel rendelkezik, és saját 
levelezőkiszolgálót futtat a 25-ös kapun, a belső rendszeren 
található a 192.168.0.2 IP-számon (a tűzfal száma 192.168.0.1). 

A DNS bejegyzése a 209.127.112.17 címet jelöli meg levelező- 
kiszolgálóként, ahogyan azt a 4. listában láthatjuk. 

Az első két tecprules szabály ugyanaz, mint a fenti példában. 
Mielőtt azonban minden más kapcsolatot elvetnénk, elfogad- 
juk a 25-ös kapun keresztül érkező csomagokat. Ezután a nat 
táblában elfogjuk a 25-ös kapcsolatot és átirányítjuk egy másik 
belső gép ugyanilyen számú kapujára. Ezt egyébként az összes 
kapcsolatunkkal megtehetjük. Ne feledjük viszont, hogyha 

a DNS-t is ilyen módon irányítjuk át, akkor UDP- és ICP-átirá- 
nyításra egyaránt szükségünk lesz. Általában -— hacsak valaki 
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odakintről nem akar zónaátirányítást a ICP- részeket nyugod- 
tan elvethetjük, és csak az UDP-részt engedjük át. 

Azt is figyeljük meg, hogy a MASOUERADE használata helyett 
a kimenő kapcsolatokhoz a SNAT-ot használjuk célként. Ha 
valaki csodálkozna, az S a forrást (source) jelenti, ezt fogjuk 
megváltoztatni. A DNAT esetében a csomag célját változtatjuk 
meg. A --to-source érték IP-címtartományok fogadására is 
képes, így kívülről a tűzfal több gépnek is látszódhat. Ha pél- 
dául az ISP-től öt felhasználható IP-számot kaptunk, a kimenő 
kapcsolatokhoz mind az ötöt felhasználhatjuk. A különféle 
szolgáltatásokat külön IP-számokhoz rendelhetjük, így akár 

öt rendszer is válaszolhat DNS-lekérdezésekre, tárolhat webla- 
pokat, fogadhat leveleket stb. A Netfilter segítségével kezdet- 
leges terheléskiegyenlítést is készíthetünk. Ha céltartományt 
használunk a DNAT-hoz, a legkevesebb kapcsolattal rendelkező 
rendszer (ami nem feltétlenül jelenti a legkevésbé terhelt 
rendszert) kapja az új kapcsolatot. 

Amit még érdemes tudnunk, hogy elindulhassunk, az, hogy 
miképpen növelhetjük meg az egyszerre követett kapcsolatok 
számát. Ez a szám alapértelmezés szerint a rendszeren rendel- 
kezésre álló memória függvénye. A szám azonban megnövel- 
hető. A következőképpen találhatjuk meg: 

cat /proc/sys/net/ipv4/ip conntrack max 

Az én 256 MB memóriájú rendszeremen ez a szám 16376. 


Befejező megjegyzések 

A Nettfilter használatával minden erőlködés nélkül növelhetjük 
otthoni rendszerünk biztonságát: a kapcsolatkövetés józan 
használatával. Számos más lehetőség is rendelkezésünkre áll 
— ez a cikk épp csak a felszínt kapargatta meg. Mindenkinek 
ajánlom Rusty (korábban már említett) , Unreliable Guides" 
című írását, mely a Netfilter honlapon érhető el. 

Egyszerű igényekkel rendelkező otthoni felhasználók jobb, 

ha egyszerű tűzfalat építenek, ezért nem javaslok sok elérhető 
tűzfaleszközt és parancsfájlt, hiszen mindössze felesleges 
bonyolultságot visznek a tűzfalunkba. Ha nem értünk meg 
egy szabályt, ne építsük be. Az első három meghatározó 
szabály (a -m state szabály alkalmazásával) már meglehető- 
sen jó alapot ad. Amennyiben azonban a támadó már korábban 
bejutott a rendszerbe, a szabályok nem sokat érnek. Nem 
védenek meg továbbá a levélalapú trójaiaktól sem, megóvnak 
viszont a közvetlen támadásoktól. Azt javaslom, ha nem hasz- 
nálunk IRC-t, naplózzuk és vessük el az IRC-kapcsolatokat: 
SIPT -j filter -I tcprules -p tcp 

s. -destination-port 6667 -] LOG 
m--]og-prefix "IRC attempt " 

SIPT -j filter -I tcprules 2 -p tcp 
s.--destination-port 6667 -j DROP 

lovábbá ha nincs rá szükségünk, hogy bárki is belépjen a 
rendszerünkbe, semmilyen kaput se nyissunk meg (ahogyan 
azt a második példában láthattuk). Cikkünk nem arról szólt, 
hogyan állítsuk be helyesen a hálózatot az Internet által elér- 
hető rendszerek és a megbízható belső rendszerek elkülöní- 
tésére. Ha ilyen összetett rendszerre van szükséged, ideje, 
hogy egy hozzáértő segítségét kérd! 


David A. Bandel 

(dbandelopananix.com) jelenleg Panamában 
él, Linux- és Unix-tanácsadással foglalkozik. 
Társszerzője a , Oue Special Edition: Using 

] Caldera OpenlLinux" című könyvnek. 





2001. október 21 


KZT TT 


0 Kiskapu Kft. Minden jog fenntartva 





KKT eza 





0 Kiskapu Kft. Minden jog fenntartva 


Az ujjlenyomat általi azonosítás meggátolása 


Ha nem akarunk harcolni, meggátolhatjuk, hogy 
ellenfelünk harcba szálljon velünk, mégha alig látha- 
tók is a földön táborhelyünk körvonalai. Csak annyit 
kell tennünk, hogy valami furcsát és érthetetlent 
vetünk elébe." 

(Szun Cu: A háború művészete) 


Az operációs rendszer ujjlenyomat alapján történő azonosítása 
az a folyamat, melynek során a távoli géptől visszakapott 
adatok jellemzői alapján meghatározzuk, milyen operációs 
rendszert futtat a távoli számítógép. Egyes esetekben ez csak 
annyit jelent, hogy kapcsolódunk a géphez és elolvassuk a 
szolgáltatás bejelentkező szövegét, máskor viszont bonyolult, 
mint például a TCP-kezdőadatok és zászlók (flagek) statisztikai 
elemzése. A kívülállók képesek általános adatokat megállapí- 
tani, mint például a gépen futó operációs rendszer típusát, 
azáltal, hogy megkeresik a TCP-verem operációs rendszerekre 
egyedileg jellemző megvalósításának a különbségeit. Egyes 
esetekben ezek a különbségek nagyon részletes adatokat is 
elárulhatnak, például az operációs rendszer változatszámát 

és a processzor típusát. 

A gép operációs rendszerének pontos azonosítása révén a 
támadó jól tájékozott és pontos támadást tud intézni a célgép 
ellen. Ebben az átmeneti tár túlcsordulásaival teli világban a 
támadónak talán csak arra az alkalomra van szüksége, hogy 
pontosan megtudja az operációs rendszer és a processzor típu- 
sát. Az olyan programok használatával, mint például a linuxos 
Nettfilter, a rendszergazdák ki tudják kerülni az operációs rend- 
szer ujjlenyomata általi pontos azonosítását, néhány esetben 
pedig még meg is tudják hamisítani a külső erők által gyűjtött 
adatokat. Bár ezeket a szokásokat semmiképpen sem szabad 
megbízható biztonsági megoldásnak tekinteni, néha elbizony- 
talaníthatja, sőt össze is zavarhatja a betörni szándékozót az, 
ha célja titokzatos hálózati egységnek látszik. 

Bár az ujjlenyomat általi azonosítás elkerülése remekül eltit- 
kolja, milyen operációs rendszert futtat valójában a gép, sem- 
miképpen sem teszi biztonságossá különféle sebezhető 
pontjain. A biztonsági eljárások és irányelvek célja az, hogy 
magasabbra emeljék a rendszer tönkretételéhez szükséges 
szakértelem szintjét —, az eltitkolás csak a valódi célpont 
elrejtését kísérli meg. Mégha a külvilág úgy is látja, hogy 
rendszereden a Microsoft IIS5 fut, nem véd meg téged, 

ha mondjuk a Sendmail egyik sebezhető változatát használod, 
és egy betörőpalánta (script kiddie) önműködő pásztázója 
kísérel meg betörni hozzád. Az ujjlenyomat általi felismerés 
elkerülésének célja a támadások elterelése, nem pedig a 
megakadályozása. 


A felfedezés módszerei 

Mielőtt egy lehetséges támadót azzal próbálnánk meg eltán- 
torítani, hogy becsapjuk az operációs rendszerünket illetően, 
meg kell ismerkednünk az operációs rendszerek ujjlenyomat 
általi azonosítására használt eszközökkel és eljárásokkal. 


A ,támadó" kifejezést itt bő értelemben használjuk, és magában 
foglalja mindazokat, akik megpróbálják azonosítani egy gép 
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ujjlenyomatát, és azokat is, akiknek szándékában állhat, hogy 
kárt okozzanak egy rendszerben. A biztonság a lépések és az 
azt követő ellenlépések egymást követő sorozata volt, és az író 
felfogása szerint mindig is az lesz. Ha megismerkedünk az ilyen 
támadásokra használt eszközökkel és eljárásokkal, akkor nem 
csupán a jelenlegi fogásokra tudunk felkészülni és terveket 
készíteni, de bepillantást nyerünk abba is, mit hozhat a jövő. 
Számos nyilvánosan elérhető eszköz van, melynek célja az 
operációs rendszerek ujjlenyomat általi azonosítása. Úgy tűnik, 
ezek közül az eszközök közül a legnépszerűbb az nmap 

(2 http:/wwwiinsecure.org/nmap/index.htm]), melyet Fjodor, 
az Insecure.org webhely fenntartója készített. Az Nmap 
számos módszert használ, hogy megpróbálja felismerni a gép 
operációs rendszerét hálózati szintről, ezek között vannak 
kezdetleges megközelítésűek és bonyolultabbak is, melyekhez 
a TCP/IP-protokoll és a protokollok általános jellemzőinek 
alapos ismeretére van szükség. Íme, néhány figyelemre méltó 
módszer az Nmap használta módszerek közül: 


e . FIN-próba - ha a támadó gép egy nyitott kapujára olyan 
csomagot küld, amelyben csupán a FIN-zászló van beállítva, 
akkor bizonyos, a kérésre válaszoló gépekről adatokat sze- 
rezhet be. Ez a viselkedés nincs összhangban az RFC-kkel, 
ezért nagyon jól jelzi az operációs rendszer fajtáját. 

e TCP ISN mintavétel — A TCP-csomagok ISN- (kezdősor- 
szám) mintavételezése értékes módszer lehet a távoli gépek 
azonosítására és besorolására. Azáltal, hogy a támadó bizo- 
nyos mintákat keres az ISN-ekben, a támadó megalapozott 
találgatásba bocsátkozhat a gép operációs rendszerét illetően. 

e . ICMP-hibaüzenetek küldése — az ICMP- (internetvezérlő- 
üzenetprotokoll) hibaüzeneteket használva a támadó 
hasznos adatokra tehet szert a gép válaszai alapján. 
Különös érdeklődésre számot tartó területek az ellenőrző 
összegek, a hibaüzenet visszhangjának épsége, és a 
válaszüzenetekben található TOS- (szolgáltatástípus) 
mezők. 

e  ICP beállítások — minden ICP-veremnek talán a legárul- 
kodóbb jellegzetessége, hogyan kezeli a választható TCP- 
zászlókat és adatokat. A géphez intézett valóságos kérések 
és a változó ablak- és szakasz- (segment) méret segítségével 
meghatározható, milyen operációs rendszert futtat a 
számítógép, annak alapján, hogy hajlandó-e elfogadni 
ezeket a választható változókat, vagy válaszol-e rájuk. 


Bár az operációs rendszer ujjlenyomat alapján való azonosí- 
tásának mindezen módszerei csomagszinten működnek, nagy 
gondot kell fordítani rá, hogy megértsük gépünket a szolgálta- 
tások szintjén. Lehet, hogy a támadó rendszerezi és összeha- 
sonlítja a csomagok felépítését, de gyakran csak annyit tesz, 
hogy lekéri a webkiszolgálótól a HTIP-válaszfejléc Server 
(kiszolgáló) mezőjében szereplő értéket. Ha tudjuk, mely 
szolgáltatások azonosítják magukat készségesen, és ami még 
fontosabb, ha ismerjük az operációs rendszer felépítését, az 
további lehetőségeket is megmutat nekünk, amelyek révén 
távolról adatokat lehet szerezni. 

Az ügyfélprogramok csendessége (vagy ennek hiánya) is 





remek módszer, hogyan szerezhetünk adatokat egy számító- 
gépről. A többi lehetőségtől eltérően ez a folyamat teljesen 
passzív is lehet. Annak megfigyelésével, hogyan mutatkozik 
be egy ügyfélalkalmazás valamely szolgáltatásnak, ésszerű 
találgatásra vállalkozhatunk az operációs rendszerre és a felé- 
pítésre vonatkozóan egyaránt. Az ügyfelek közül többnyire 

a webböngészők, a levelezőprogramok és az IRC-ügyfelek 

a leginkább vétkesek. Ha IRC-zünk, és lekérdezzük az egyik 
felhasználó CICP-változatát, válaszként pedig a mIRC32 v5.81 
K.Mardam-Bey, szöveget kapjuk, akkor alapos okkal gondol- 
hatjuk azt, hogy a számítógépen a Windows operációs rend- 
szer valamelyik változata fut. 


4 om komm Nana . uzen Em áz az TÉN ie Vf öö Tee 
tenne TITEZTESTENE 1. 2 a 
ú-z Nina "a önös LEGE ie : fiai Ta 


Végezetül ott van a gyenge pontok kipróbálása. Bár nem túl 
tapintatos, azért hasznosnak bizonyulhat a számítógép operá- 
ciós rendszerének megállapítására. Az operációs rendszerre 
egyedileg jellemző szolgáltatásmegtagadási (denial-of-service) 
támadások sorozatának a megindítása által a kívülálló próbál- 
kozhat, és megállapíthatja, sebezhető-e a számítógép. Ezzel 
meghatározható, milyen besorolású rendszert futtat a gép, 
általában még a foltok szintjén is. A Windows-közösség hálás 
lehet Fjodornak és az ujjlenyomat általi azonosítást végző 
eszközök többi fejlesztőjének, amiért úgy döntöttek, hogy ezt 
a módszert nem foglalják bele szokásos pásztázási eljárásaik 
választékába. 


Mire jó az ujjlenyomat 

alapján történő felismerés meggyátolása? 

Ha eddig elolvastad a cikket, egész biztosan érdekel, miért 
vállalná magára valaki a bonyodalmakat azért, hogy megaka- 
dályozza az operációs rendszer ujjlenyomata általi azonosítást. 
Jó kérdés! Úgy gondolom, az indítékok személyenként elté- 
rőek. Mindenkinek megvan az oka, amiért el akarja rejteni, 


vagy éppenséggel nem akarja elrejteni az operációs rendszerét. 


Vannak, akiknél a fokozott titokzatosság a homályban való 
meghúzódás és a belső kényelem érzését váltja ki. Hasonlóan 
azokhoz, akik lelnet bejelentkező képernyőjükről eltávolítják 
a változatszámot tartalmazó üdvözlőszöveget, de a távoli 
helyek biztonságos elérésére a lelnetet használják az SSH 
helyett titokzatos, de szakmai szempontból kevésbé bizton- 
ságos. Mások esetében az operációs rendszer eltitkolása lehe- 
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tővé teszi, hogy minden részletre kiterjedően beállítsák behato- 
lásjelző-rendszerüket (ID5S), ugyanis nemcsak azt tudják 
viszonylag jól, mi jöhet be a hálózatukba, hanem azt is, milyen 
adatok mehetnek ki belőle (titokzatos, óvatos és remélhetőleg 
biztonságos). Néhányaknak talán még szükségük is van a biz- 
tonságosságra, ugyanis minden hálózat, melyre rácsatlakoznak, 
ellenséges hálózatnak bizonyulhat; és minél jobban elrejtik 

az operációs rendszerüket, annál szélesebb lehetőségük nyílik 
rá, hogy elvégezzék mindenkori feladatukat, anélkül, hogy 
észrevennék őket (titokzatos, óvatos, biztonságos, és valószínű- 
leg épp a leveleidet olvassa). Végül ott vagyunk mi, akik 
egyszerűen szórakozásból tesszük ezt, azért, mert képesek 
vagyunk rá; és mert nem kis örömet találunk abban, hogy 

be tudjuk csapni a körülöttünk levő ismeretleneket, akik állan- 
dóan pásztázókat irányítanak ránk (igen, bűnösek vagyunk 

a vád tárgyában). 
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A meggátolás módja 

Itt az idő, hogy szerencsét próbáljunk az ujjlenyomat általi 
azonosítás elkerülésében. Ismerve a számítógépek operációs 
rendszerének megállapítására használt népszerű eljárásokat, 
ezeket az elképzeléseket vissza tudjuk fejteni, ami segíteni fog, 
hogy eltitkoljuk valós egyéniségünket. 

Először is meg kell bizonyosodnunk róla, hogy minden 
biztonsági folt a helyén van és a rendszer biztonságos. Mint 
korábban kijelentettem, a titokzatosságra csak azután töreked- 
hetünk, miután gondoskodtunk a biztonságról. Biztosan 
akadnak, akik nem értenek ezzel egyet, és csupán a titokzatos- 
ságra támaszkodnak ahhoz, hogy biztonságossá tegyék rend- 
szerüket, de vajon mire jó a titokzatosság, ha a 33. számú 
betörőpalánta önműködő programja rendszergazdai jogosult- 
ságot szerez a gépeden még ma este? Fogadni merek, hogyha 
egyszer sikerült rendszergazdai hozzáférést szereznie, akkor 
nem azzal fog foglalkozni, hogy kitalálja, a Linux melyik 
változatát futtatod. 

Másodszor, meg kell figyelnünk a szolgáltatásainkat. Össz- 
hangban vannak azzal az operációs rendszerrel, melynek a 
használóiként szeretnénk feltüntetni önmagunkat? A legtöbb 
esetben ez nem okoz nagy gondot, hiszen a Unix-környezetek 
többsége hasonló vagy ugyanolyan szolgáltatásokat alkalmaz. 
De ha Windows-gépként vagy éppenséggel Cisco-útválasztó- 
ként szeretnéd feltüntetni magad, akkor nem biztos, hogy 
előnyös, ha látszik, hogy fut az IRC-d. legyünk erőfeszítést 
azért, hogy a szolgáltatásaink összhangban legyenek az álca- 
ként használt számítógéppel. 

Ha már a szolgáltatásoknál tartunk, az is jó ötlet, ha a szolgálta- 
tások forráskódját átfésüljük, és megkeressük üdvözlőszövegeit 
és általános azonosítóit. Néhány árulkodó azonosító jel lehet 
az ASP-oldalak támogatása vagy az olyan webtartalom, melyet 
tömörített gzip-formátumban szolgáltatunk. Ismétlem, neked 
kell megszabnod, milyen szintű rejtőzködést és az álcaként 
használt géppel való egyezést próbálsz meg elérni. 

Ezután azt kell megvizsgálnunk, hogyan jelenik meg gépünk 
a hálózaton, szembeállítva azzal, ahogyan az álcaként használt 
gép megjelenik a hálózaton. Ennek megkönnyítésére azt 
javaslom, tanulmányozzuk a már leírt anyagokat, vagyis azokat 
a friss ujjleenyomat-állományokat, amelyeket maguk a progra- 
mok használnak. Időt kell szakítanunk nemcsak annak megál- 
lapítására, hogyan válaszol az álcaként használt gép a szokásos 
kérésekre, hanem arra is, mely egyedi zászlókat támogatja 

a TCP-ben. A ICP-zászlók hasznos adatokat szolgáltatnak a 
kívülállók számára, hogy megállapíthassák, milyen operációs 
rendszert futtatunk. Az ujjlenyomat-állományok nem tartal- 
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mazzák a gép által adható összes lehetséges választ, hanem 
csak olyan egyszerű módszereket, melyek megismételhetően 
működnek. Attól függően, milyen fokú rejtőzködést szeretnénk 
elérni, érdemes lehet megvizsgálni azokat az ujjlenyomatada- 
tokat is, melyeket az Nmap nem használ (OSPE OOB, IPv6 
stb.). De az is előfordulhat, hogy az alaposság öröménél na- 
gyobb súllyal esnek latba az ezeknek az adatoknak az össze- 
gyűjtéséhez szükséges munkával töltött (alvás nélküli, nem 
álmatlan) éjszakák. 





Végül hoznunk kell egy döntést. Cselesek vagy pedig meg- 
szállottak leszünk? Ha az utóbbi a válaszunk, akkor valószí- 
nűleg az ügyfélalkalmazásaink meghamisításával folytatjuk. 
Mint korábban említettem, a gép ügyfélprogramjai hajlamo- 
sak mindenféle adatokat kiszolgáltatni (közvetlenül vagy 
közvetve) a rendszerről. Előző példánkban egy IRC-ügyfél 
elárulja magáról, hogy Win32-höz készült, de vannak a számí- 
tógépek azonosításának kifinomultabb módszerei is, így 
például, amikor a kimenő levelek fejlécét olvassák el. Megis- 
métlem, minden attól függ, hány alvás nélküli éjszakát vagy 
hajlandó ráfordítani, hogy rendszered megfeleljen az általad 
kívánt jellemzőknek. 


A lehetséges gondok 

Az operációs rendszer ujjlenyomat általi azonosításának elkerü- 
lése ugyanolyan, mint a biztonság bármely más nézőpontja: 
tervezésre, megfelelő megvalósításra, és mindenekfelett megér- 
tésre van szükség. Ha a biztonsági irányelveket nem megfele- 
lően ültetik át a gyakorlatba, a rendszer még sebezhetőbbé 
válhat, mintha egyáltalán nem alkalmaznák őket. 

A népszerűség elismeréshez vezet. A számítógépes programok 
legtöbbjénél az ismertség nagyszerű dolog; a figyelmet ráirá- 
nyítja kemény munkádra és eltökéltségedre. Az operációs 
rendszerek ujjlenyomat alapján történő felismerése esetén 
munkád elismerése ellened dolgozik. Ha népszerű eszközt 
vagy csomagot használsz, végül fel fogják fedezni sebezhető 
pontjait és különlegességeit — ez elkerülhetetlen. Ugyanezek 

a programra jellemző azonosítók képessé tesznek majd máso- 
kat, hogy az ujjlenyomat alapján pontosabban azonosítsák 
ellenlépéseidet, mint magát az operációs rendszert. Csaknem 
minden operációs rendszer igyekszik véletlenszerűvé tenni 
ICP ISN-adatsorozatát, így próbálva meggátolni a ICP-elté- 
rítést és a rendszer ellen intézett bonyolultabb támadásokat. 
Ha az általad választott eltérítési eljárás megpróbálja módosí- 
tani a TCP-kezdőadat számait, nagy gondot kell fordítani arra, 
nehogy alulbecsüljük, illetve leértékeljük ezt a szolgáltatást, 
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és kiszolgáltassuk gépünket az ilyen jellegű támadásoknak. 
Mint minden a rendszerbe bekerülő számítógépes program- 
csomag esetén itt is elsődleges fontosságúnak tekintendő az 
alkalmazás biztonságossága. Az elrejtőzési folyamat része a 
meglevő szolgáltatások álcázása; a másik része az olyan kód, 
melynek a forgalom szűrése és a hálózaton folyó forgalmunk 
álcázása a feladat. Nagy gondot kell fordítani arra, hogy az erre 
a feladatra használt alkalmazás a jó programozási eljárásoknak 
és a szigorú ellenőrzésnek köszönhetően megfelelően biztonsá- 
gos legyen. Csak egyetlen rosszul átgondolt strcpy () hívásra 
van szükség, hogy ebből az előnyből veszélyforrás legyen. 

Az egyik korábban említett rejtőzködési mesterkedés az, 

hogy megváltoztatjuk a program önmagát azonosító üdvözlő- 
szövegét. Elővigyázatosságra van szükség, mert néhány 
kiegészítő programcsomag ezeket az üdvözlőszövegeket 
használja, hogy megállapítsa, együttműködik-e a jelenlegi 
rendszerprogrammal. 


Kockázat és előnyök 

Most, hogy leszögeztük, a rejtőzködés nem jelent biztonságot, 
meg kell vizsgálnunk egy másik szempontból is ezt a folya- 
matot, mégpedig a hatásfokéból. Mivel minden jó rejtőzködési 
beállítás nagy mennyiségben szűri a forgalmat, igen valószínű, 
hogy a rendszer teljesítménye megsínyli ezt. Ha a kiszolgálód 
10 000 ügyfél weblapjának ad otthont, nagyobb jelentősége van 
a teljesítménynek, mintha csak fel van állítva egy linuxos 
géped, melyen a barátaiddal nézegeted a leveleidet és IRC-Zzel. 
Rendszergazdakérnt el kell döntened, melyik a nagyobb előny 
neked (és felhasználóidnak): a teljesítmény vagy a titoktartás. 


Az elmélet bizonyítéka 

Azért, hogy szemléltessem, mennyire használható és viszony- 
lag egyszerű az ujjlenyomat általi azonosítás, mellékeltem 

egy Linuxon, kicsi felhasználói területen futó mintaalkalmazást 
(OSFPE), mely a Netfilter rendszermagmodult használja 

(lásd az 1. listát a 20. CD-n). Az operációs rendszer ujjlenyomat 
általi azonosításának elkerülése egyre hatékonyabb lesz az 
olyan programok használatával, mint például a Linux alatti 
Nettfilter (lásd még előző írásunkat). Egymás után bukkannak 
fel a hasonló módosítások és alkalmazások; BSD-ben ezt a 
feladatot az IP Filterrel és viszonylag kis mennyiségű kóddal 
lehet megoldani. A Windowst használók (akik messze a legna- 
gyobb hátrányban vannak ezen a területen) fokozatosan 
fedezik fel a módszereket, melyekkel beburkolhatják TCP/IP- 
rendszerű adatforgalmukat, és a win32 alatti Libpcap megszü- 
letésével elfoghatják és meghamisíthatják a csomagokban 
küldött saját válaszukat. 


A Netfilterról röviden 

A Netfilter, ahogy szerzője mondja, , keretprogram a csomagok 
keveréséhez". Érdekesen hangzik, nemde? A Netfilter össze- 
kapcsolódik a Linux rendszermaggal (pontosabban a 2.4.x és 
afölötti változatokkal), és mindegyik protokollhoz kezelőket 
jegyezhet be. Ha a megfelelő szabályok helyükön vannak, ezek 
a kezelők elfogják a meghatározott szabályoknak megfelelő 
bejövő és kimenő hálózati forgalmat. A csomagok ezután 
feldolgozásra kerülnek és NF DROP jelzést kapnak, ha el 

kell ejteni, NF ACCEPT jelzést pedig, ha a csomagot rendesen 
kell kezelni a veremben, végül NF OUEUE jelzést kapnak, 

ha a csomagot sorba kell állítani, hogy fel lehessen dolgozni 

a felhasználói területen. Ha a csomagot a felhasználói területen 
való feldolgozásra sorba állítják, az io gueue beállítja a sorba; 
ezután bármely, a felhasználói területen futó program 





aszinkron módon feldolgozhatja a csomagokat, amely 
bejegyezte magát az ilyen fajta csomagokra. Amikor ezek az 
alkalmazások kivesznek egy csomagot a sorból, képesek módo- 
sítani, elfogadni vagy elutasítani azt. Ha a csomagot elfogadják, 
továbbadják a következő olyan alkalmazásnak, amely beje- 
gyezte magát az ilyen csomagokra. Ha a csomag NF DROP 
jelzést kap, akkor elejtésre kerül, és a szóban forgó csomag 
feldolgozása abbamarad. A Netfiltert használva a felhasználói 
területen futó alkalmazások gyakorlatilag magszinten ellenő- 
rizhetik a hálózati forgalmat. 


IP Tables 

Az IP Tables olyan alkalmazás, mely a Netfilterhez kapcsolódik, 
és általa beállíthatók, megtekinthetők és eltávolíthatók a rend- 
szer szűrésére használt szabályok. Azért említem meg itt az 

IP lablest, mert az elmélet bizonyítására szolgáló kódunk 
fejlesztésekor úgy véltük, jobb, ha a felhasználókat a szabályok 
beállítására az IP Tables program használatával ismertetjük 
meg, mintha magával az alkalmazással dolgoztatnánk fel 

a szabályokat. Így az embereknek módjuk nyílik jobban meg- 
ismerni, mi történik a sorba állított csomaggal. 


A mi módszerünk 

A Netfilter modulok és az ÍP lables szabályfeldolgozó program 
használatával be tudtuk állítani a szabályokat, melyek elfogták 

a bejövő UDP-, TCP- és ICMP-csomagokat. A bejövő csomagtól 
és a küldő géptől függően vagy megengedjük, hogy szokványos 
módon férjenek hozzá rendszerünkhöz, vagy pedig Windows- 
gép látszatát keltő válaszokat ötlünk ki az Nmap operációs rend- 
szer ujjlenyomat általi azonosításra használt bejegyzései alapján. 
Íme ez az ujjlenyomat, amelyet megpróbálunk lemásolni, és 

egy rövid leírás arról, hogyan értük el a célunkat: 


TSeg(Class-TDÍRI39cd-1]12]3]4][5]8]A]J14]1E]28] 
55A$SI--1F4) 
T1(DF-Y3W-2017]116D0]860]869FSACK-S---- Flags 
5:ASSOps-M] MNWNNT) 
T2(Resp-Ys$DF-NSW-OSACK-S$F1lags-ARsOps-) 
T3(Resp-Ys$DF-YSW-OSACK-OSF1lags-ARsOps-) 

T4 (DF-N3W-OSACK-S--- ]103F1lags-R$0Ops-) 

T5 (DF-N$W-OSACK-S--15F1lags-AR$Ops-) 

T6 (DF-N3W-OSACK-S-- ]103F1lags-R$0Ops-) 
T7(DF-N$W-OSACK-S--135F1lags-ARS$Ops-) 
PU(DF-N$TOS-OSIPLEN-38$RIPTL-1483RID-ESRIPCK-E 
9 S UCK-ES$ULEN-1343DAT-E) 


Az első sorból kiderül, hogy az időponttól függő (ID) ICP- 
műveletsorozatot kell felépítenünk, vagy pedig egy olyat, mely 
véletlenszerűen növekszik (RJ), és az egyes lépések egyenlők, 
de nem nagyobbak, mint 0x1F4 (500). Ezt tulajdonképpen elég 
egyszerű volt elérni, vagy jobban mondva lemásolni. Először 

is elfogtuk a bejövő csomagot, vettük a TCP-sorozat számát, és 
létrehoztunk egy véletlenszerűnek tűnő számot 1 és 500 között. 
Ez megfelelt az ujjlenyomattal szemben támasztott mindkét 
követelménynek, a véletlenszerű növekedésre és a legnagyobb 
közös osztóra vonatkozónak is. 

Ezután felbontottuk a csomagokra vonatkozó próbákat 
(I1-I7) és mindegyik esetre létrehoztunk nekik megfelelő 
eseteket a ICP-kezelőnkben. Ezek mind nagyon egyértelműek 
voltak, és egyszerűen szükségessé teszik, hogy a gép adott 
módon válaszoljon a különféle nyitott és zárt kapukra érkező 
kérésekre. A részletes tesztek és a beállítások alaposabb fel- 
dolgozása megtalálható Fjodornak az operációs rendszerek 
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távoli azonosításáról írt tanulmányában. 

Ezután megalkottuk az UDP , nem elérhető kapu"-típusú UDP- 
kérésre adandó válaszunkat. Az Nmap ekkor annyit tesz, hogy 
a gép egyik zárt kapujára küld egy UDP-csomagot és várja az 
ICMP , nem elérhető kapu" -csomag formájában érkező választ. 
A ,nem elérhető kapu" ICMP-csomagok egyszerűen annyit 
mondanak a küldő gépnek, hogy az UDP-csomagot nem sikerült 
eljuttatni arra a kapura, amelyre szerették volna, mert azon 
nincs működő UDP-szolgáltatás. Bizonyos hálózatokon ezeket 
az üzeneteket sohasem küldik vissza, mert az útválasztó eldobja 
őket. Annak érdekében, hogy alkalmazkodjunk az ujjlenyomat- 
hoz, igyekeztünk visszaküldeni azt, amire számítottak. 

Végül, gépünk bizonyos kapuiról kis ráadásként Syn-Ack 
csomagokat küldtünk vissza arra az esetre, ha véletlenül pász- 
tázással megvizsgálnák, nyitva vannak-e ezek a TCP-kapuk. 
Ezenkívül nem küldtünk vissza semmilyen választ bizonyos 
UDP-kapuknál, melyeknél azt a látszatot szerettük volna kel- 
teni, hogy nyitva vannak a gépünkön (mint korábban megálla- 
pítottuk, csak a zárt UDP-kapuk küldenek vissza , nem elérhető 
kapu" üzenetet). Amikor gépünk pásztázása véget ér, úgy kell 
látszódnia, mintha a 135. és 139. TCP-kapu, valamint a 135., 
137., és 138. UDP-kapu nyitva lenne. Ha gépünket az ujjlenyo- 
mata alapján megpróbálják azonosítani, bizonyosan megfele- 
lünk a fenti ujjlenyomatnak és Windows NI4, Windows 95, 
Windows 98" gépnek látszunk. 

Végül az elmélet bizonyítására használt kód pontosan ezt 
jelenti: rövid programrészlet, melynek célja, egy elképzelés 
bizonyítása. Kíméljük meg magunkat a gondoktól, és ne 
futtassuk léttontosságú eszközökön. Próbáljuk ki, tanuljunk 
belőle, módosítsuk, hasznosítsuk, de ne támaszkodjunk rá! 
Igyekeztem biztonságosan és jól olvashatóan (ez vitatható) 
megalkotni a kódot, de semmit nem ígérhetek. 


Köszönetnyilvánítás 

Hálás köszönetem Rex Warren-nek a kemény munkájáért, 

és amiért ennek a tanulmánynak és a mintakódnak az elké- 
szítésében segített, Fjodornak azért, hogy megengedte nehéz 
munkája gyümölcsének felhasználását, és hogy ilyen nagy- 
szerű biztonsági eszközt készített. Köszönet Dan Kurc-nak 
kódom átolvasásáért és azért, hogy szüleményemet csúnyának 
nevezte (hé, ez az első C-ben készült programom), és Sir 
Dystic-nek a C nyelv használatához nyújtott támogatását, 
valamint hála Courtnee-nek. 


Rob Beck jelenleg biztonsági rendszerek 
tervezőjeként dolgozik az Ostake Security 
Consulting szolgálatnál, szakterülete a 
Windows operációs rendszerekbe, illetve 
alkalmazásokba való behatolás felmérése, 
és a biztonságos felépítés megtervezése. 
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A jelszavas védelem fejlődése 


Túlságosan kiszolgáltatott lenne a rendszerünk? Bemutatjuk hogyan hozhatjuk ki a 
legtöbbet az olyan Unix-alapú jelszavas védelmi rendszerekből, mint az MD5 és a PAM. 


a látni szeretnéd, hogyan mű- 
ködik az egyedfejlődés, csak 
vess egy pillantást a GNU/Linux 
jelszavas rendszereinek fejlődésére! Bár 
az alapállapotban minden Unix-rend- 
szerben meglévő jelszavas védelem már 
csak csökevényes szerve a rendszernek, 
a számítógépes betörők alakjában fellé- 
pő természetes kiválasztódás nyomására 
olyan fejlettebb védelmi rendszereket 
indítottak el a fejlődés útján, mint az 
árnyékjelszavak (shadow password), 

az MD5- és a PAM-módszer. Azóta a jel- 
szavas védelem olyan új területeken is 
meghonosodott, mint például az indítás- 
kezelők, távoli bejelentkezések és egyéb 
fejlett biztonsági rendszerek. Nap mint 
nap használjuk ezeket a védelmi eszkö- 
zöket, de ha a rendszerünket biztonsá- 
gosabbá szeretnénk tenni, alaposabban 
meg kell ismerkedni velük. A Unix mára 
már szabványossá vált jelszavas rend- 
szere a védelmi rendszerek fejlődésének 
szempontjából jura korszaknak számító 
70-es években indult el. Eltekintve attól, 
hogy manapság a legtöbben grafikus 
felület alól, például a gdm program 
segítségével használják, az idők folya- 
mán szerkezete nem sokat változott. 

A folyamat maradt a régi: a rendszerbe 
való bejelentkezéskor a felhasználó egy 
legfeljebb nyolc (korábban hat vagy hét) 
karakterből álló jelszót ad meg, amelyet 
azután a DES (adattitkosítási szabvány) 
algoritmus egy titkos kulcsba kódol. Ez 
a kulcs a továbbiakban a /etc/passwd 
állomány második oszlopába kerül, ahol 
tulajdonképpen bárki hozzáférhet. 

Az eltelt idő során azonban a jelszavas 
védelmi rendszerek mégis megváltoztak 
és fokozódott a számítógépes betörők 
közti versengés is. A DES-algoritmus ma 
már másodpercek alatt feltörhető. Még 
elkeserítőbbé teszi a helyzetet, hogy 

a hagyományos jelszavas rendszer a 
kulcsokat mindenki által hozzáférhető, 
nyilvános helyeken tárolja, ahol a beha- 
tolók könnyűszerrel rátalálhatnak. 

Az egyetlen megoldás az lehetne, ha 
szigorú korlátozásokkal sújtanánk a 
felhasználókat, és még az olyan gyakori 
parancsok kiadását is letiltanánk, mint 
az 1s -1. Bár néhány biztonsággal fog- 
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lalkozó szakember akkor lenne igazán 
boldog, ha a megvédendő gépet kikap- 
csolva, több kilométer mélységben lévő 
ólomfalú pincében helyezhetnék el, be 
kell látnunk, hogy az ilyen kemény meg- 


egy csillag vagy egy felkiáltójel mutatja, 
ha az adott felhasználóhoz nincs jelszó 
beállítva. A /etce/ passwd jelszó oszlopá- 
ban mindössze egy x utal az árnyékjel- 
szavak jelenlétére. 








szorítások nem vezetnek megoldásra. 

A 90-es évek közepén a már széles kör- 
ben használt Internet egyre több lehe- 
tőséget kínált a betörőknek még megfe- 
szítettebbé téve a versengést. Válaszlé- 
pésként különböző védelmi rendszerek 
indultak fejlődésnek. (Ehhez kapcsoló- 
dik a 46. oldalon lévő Könnyű álmok 
című cikkünk.) Kezdetben ezeket az 
eszközöket csak utólagos kiegészítőként 
lehetett a rendszerbe illeszteni, a kilenc- 
venes évek második felében beköszöntő 
, Új kor hajnalán" viszont már egymást 
segítve fejlődtek, és a Linux-terjesztések 
alapcsomagjaiba is bekerültek. 


Az árnyék válasza 

Az árnyékjelszavak a nevüket onnan 
kapták, hogy ők a hagyományos jelsza- 
vak rejtett megfelelői. A különbség az, 
hogy az árnyékjelszavak lakhelye nem 

a mindenki számára hozzáférhető 

/etc/ passwd, hanem a /etc/shadow állo- 
mány második oszlopa, amelyet csak a 
rendszergazda képes , birtokolni". Ebben 
az oszlopban Linux-változattól függően 








Az árnyékjelszavak általános elterjedé- 
sével a kézi beállítások szinte teljesen 
eltűntek. Ennek ellenére léteznek eszkö- 
zök, amelyek segítik az árnyékjelszavak 
kézi beállítását. A pwconv és grpconv 
parancsokkal a felhasználókra és a 
csoportokra vonatkozó bejegyzéseket 

a /etc/shadow és a /etc/passwd állomá- 
nyokban mindig szinkronban tarthatjuk, 
de a használatuk általában szükségtelen, 
mivel ez a művelet az új jelszavak meg- 
adásakor önműködően Zajlik. Hasonló- 
képpen a pwunconv és grpunconv 
parancsokkal ugyan hagyományos jel- 
szavakat is létrehozhatunk, de a mai 
korszerű rendszerek esetében ez a 
visszalépés ritkán szükséges. lalán 

az egyetlen valóban hasznos eszköz 

a Debian Linux shadowconfig prog- 
ramja, amelynek off-on beállításával 
rendszerünkben gyorsan és könnyen 
engedélyezhetjük az árnyékjelszavak 
használatát. 

A /etc/shadow állomány többi oszlopa 

is evolúciós zsákutcának bizonyul. Első 
pillantásra hasznosnak tűnnek, hiszen 
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a segítségükkel beállíthatjuk, hogy 


mennyi idő után kell megváltoztatni egy 


jelszót, a felhasználó mikor kapjon erre 
vonatkozó figyelmeztetést, és mennyi 
idő után tiltsa ki a rendszer, ha mégsem 
változtatta meg a jelszavát. A fejlődés 
tekintetében ezek az oszlopok a túlélést 
elősegítő vonások, azonban ezeket a 
beállításokat minden egyes felhasználó 
esetén sajnos egyenként kell elvégez- 
nünk. Még nagyobb hátrány, hogy az 
időpontokra vonatkozó bejegyzéseket 
az 1970. január 1-je óta eltelt napok 
számában kell megadni. Ha pontosak 
akarunk lenni, ez annyira macerásnak 
bizonyul, hogy a rendszergazdák több- 
sége az oszlopok nagy részét üresen 
hagyja, a többibe pedig olyan nagy szá- 
mokat ír, amelyekkel biztosan nem kell 
többet foglalkoznia. 


Az MD5 kora 


Az hagyományos jelszavas védelmi 
rendszer egy másik továbbfejlesztett 
utóda az MD5 névre hallgató titkosító 
eljárás. Az MD5 a legfrissebb termék 
azon algoritmusok fejlődésében, ame- 
lyet Ronald Rivest, az MIT professzora 
és a titkosító eljárások kifejlesztésében 
több mint egy évtizede élenjáró cég, 

az RSA Security alapítója dolgozott ki. 
Az MD5 a 8-bites gépekre finomhangolt 
MD2 utóda, és közvetlenül a 32-bites 
rendszerekre kifejlesztett MD4 algorit- 
mus módosításából jött létre. Rivest és 
munkatársai szerint az MD4 annak ide- 
jén túlságosan hamar került a piacra. 
Az MD5-öst 1991-ben szabadon felhasz- 
nálható (public domain) eszközként 
adták ki, majd 1994-ben további módosí- 
tására került sor. 

Az MD35 algoritmus az azonosítást 
igénylő védelmi rendszerek szabvá- 
nyává vált, igaz, Rivest kitart amellett, 
hogy eredetileg nem ezzel a céllal fej- 
lesztették ki. Bár az elmúlt években 
olyan kifinomultabb titkosító eljárások 
jelentek meg, mint például az IDEA, 

a Skipjack vagy a Bowfish, eddig még 
egyikük sem bizonyította, hogy annyi- 
val jobb teljesítménnyel bír, amennyivel 
az MD5-öt kiüthetné a nyeregből. 

A kilencvenes évek közepén az MD5 
csak utólagos kiegészítőként kerülhetett 
a Linux-rendszerekbe, mára azonban a 
legtöbb terjesztés tartalmazza. Biztonság 
tekintetében az MD5 előnye a hagyomá- 
nyos jelszavas rendszerekben használt 
DES-eljárással szemben az, hogy megen- 
gedi a hosszabb jelszavak használatát, 
és kifinomultabb titkosítást tesz lehetővé. 
Az MD5 engedélyezésével rendszerünk 
védelmére akár 256 karakter hosszú 
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jelszavakat is használhatunk. A jelszó 
hosszától függetlenül az MD5 négy lé- 
pésben végzi a kódolást, melynek ered- 
ménye egy 256 karakterből álló kulcs. 
Mivel ez a művelet visszafordíthatatlan 
(legalábbis nem sok rá az esély), az MD5 
algoritmust egyirányú hashnek is nevezik. 
Az ismertebb Linux-változatok telepítés- 
kor felajánlják az MD5 telepítését is. 

Bár az MD5 számos mai munkaállomás 
és hálózat adatrendszereiben gondokat 
okozhat, ez mégsem ok arra, hogy ne 
használjuk. Ha nem vagyunk biztosak 
benne, hogy az MD5 engedélyezve van 
a rendszerünkben, két módon meggyő- 
ződhetünk erről. Nézzük meg, hogy 

a /etcsshadow állomány jelszóoszlopa 

a $1$ karakterekkel kezdődik-e, vagy 
nézzük bele a /etc/pam.d könyvtár állo- 
mányaiba ,md5"-re végződő sorok után 
kutatva. Ha az MD5 nincsen engedé- 
lyezve, az ehhez szükséges állományok 
előkeresése és a rendszer újbóli beállí- 
tása általában annyira időigényes folya- 
mat, hogy a legtöbb kezdő felhasználó 
inkább a teljes rendszer újratelepítése 
vagy frissítése mellett dönt. 


A csontváz tagolása: PAM 

Az árnyékjelszavak és az MD5-eljárás 
elterjedése a bőség zavarát okozhatja, 
mivel a működésükhöz szükséges utó- 
lagos kiegészítők sokféleképpen kombi- 
nálhatók egymással, és mindegyikük 
saját parancsokkal rendelkezik, mint 
például a passwd vagy login. Erre a 
dilemmára nyújt megoldást a Pluggable 
Authentication Method (körülbelül: 
,csatlakoztatható hitelesítő eljárás" ), 
röviden a PAM. A PAM tulajdonképpen 
a védelmi folyamatokban és a biztonsági 
szintek megváltoztatásában szereplő 
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parancsok és munkafolyamatok közti 
közvetítő. A PAM-módszer párhuzamo- 
san fejlődött az árnyékjelszavakkal és 
az MD5-tel, és mintegy 1997 óta része 

a különböző Linux-változatoknak. 

A PAM-ot eredetileg a /etc/pam.conf 
állományban lehetett beállítani, a leg- 
több terjesztésben ez az állomány azon- 
ban már annyira haszontalanná vált, 
mint testünkben a vakbél. Helyét a 
/etc/pam.d könyvtár vette át. 

A könyvtár egyes állományaiban beállít- 
hatjuk, hogy egy adott parancshoz mely 
felhasználók vagy csoportok férhetnek 
hozzá, például a /etc/pam.d/su állományba 
a su parancsot szabályozó bejegyzéseket 
tehetünk. A /etc/security/limits.conf 
állományban további korlátozásokat 
állíthatunk be, de a /etc/pam.d legtöbb 
állománya a /lib/security függvény- 
könyvtáraira mutatva közvetítő szerepet 
lát el a jelszavas biztonsági eszközök 

és egyéb parancsok között. Ezek közé 
tartoznak a chfn, chsh, cron, gdm és 
a login. Ezáltal nemcsak az árnyékjel- 
szavak és az MD5 használata válik lehe- 
tővé, hanem az olyan fejlettebb bizton- 
sági megoldások, mint például a 
Kerberos bevezetése is leegyszerűsödik. 
A /etdpam.d könyvtárban található állo- 
mányok összes beállítási lehetőségének 
részletezése nem áll módunkban, de az 
állományok bőségesen el vannak látva 
megjegyzésekkel, a szerkezetük pedig 
könnyen átlátható. Különös figyelmet 
érdemelnek a passwd, gdm, login és 
a su állományok, segítségükkel végez- 
hetjük el ugyanis a jelszavas védelem 
legalapvetőbb beállításait. A login állo- 
mány szerkesztésével például szabályoz- 
hatjuk a rendszergazda bejelentkezéseit, 
időkorlátot rendelhetünk hozzájuk, 
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illetve azt is beállíthatjuk, hogy miként 
történjen a bejelentkezések naplózása. 
Ha a su parancsot használjuk az egyéb- 
ként több beállítási lehetőséget nyújtó 
sudo helyett, akkor a /etc/pam.d/su állo- 
mány lesz a segítségünkre. Bár nem sze- 
rencsés megváltoztatni a security függ- 
vénykönyvtárakra való hivatkozásokat, 
de a rendelkezésünkre álló finomhango- 
lási lehetőségeket érdemes szem előtt 
tartani — akik számára rendszerük biz- 
tonsága kiemelten fontos, valószínűleg 
nem élnek a nu11-okkal, mivel lehetővé 
tenné, hogy a felhasználók megváltoztas- 
sák az üres jelszavakat. lovábbi példa- 
ként említhetjük a chsh állományt, 
amelyben a felhasználók által hozzáfér- 
hető parancsfájlokat korlátozhatjuk 

— listájuk a /etc/shells állományban talál- 
ható. Röviden összefoglalva: előfordul- 
hat, hogy a pam.d könyvtár rengeteg 
lehetőségét látva megfájdul a fejünk, az 
eligazodásra tett erőfeszítésünk azonban 
mégsem hiábavaló, mert segítséget nyújt, 
hogy mi módon tehetjük a rendszerün- 
ket biztonságosabbá. A PAM témakörét 
részletesebben is körbejárjuk a 46. olda- 
lon kezdődő cikben. 


Fejlődés és új felhasználási területek 
Az árnyékjelszavak, az MD5- és PAM- 
eljárások használata mind biztonságo- 
sabbá teheti a rendszerünket. Azt azon- 
ban tartsuk figyelmünk gyújtópontjá- 
ban, hogy a biztonság mindig viszonyla- 
gos. Elegendő számítási teljesítőképes- 
ség és rendelkezésre álló idő esetén nyílt 
támadással bármilyen rendszer feltörhető. 
Ráadásul egyre könnyebbé válik, mivel 
mind az alkatrészek, mind a betörők 
által használt eszközök folyamatosan 
fejlődnek. A jobb átláthatóság kedvéért 
felidézzük az eseményeket: 1994-ben az 
RSA Security szakértői úgy becsülték, 
hogy egy átlagos biztonságú gép elleni 
nyers számítási erőn alapuló támadás 
24 napon belül sikerrel jár. Ezzel szem- 
ben az mdcrack program fejlesztői 

(az MD5-eljárással védett rendszerek 
biztonságát ellenőrző eszköz) állítják, 
hogy egy 2.2-es változatú Linux-rend- 
szermagot futtató átlagos gépen egy 

56 karakterből álló jelszó húsz másod- 
percen belül feltörhető. Bár ez az idő 
még mindig kétszer olyan hosszú, mint 
egy Windows-alapú rendszer feltöré- 
séhez szükséges átlagos időtartam, de 
már nyilvánvaló, hogy a Linux-felhasz- 
nálóknak sincs okuk az önelégültségre. 
A helyzet ráadásul csak romlani fog. 

A növekvő fenyegetés elleni védekezés 
egyik legjobb módja, hogy fokozottab- 
ban kihasználjuk a jelszavas védelem 
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adta lehetőségeket. Számos, főként ott- 

honi felhasználó a telepítés után rögtön 

el is feledkezik a jelszavas védelemi 
rendszerről, és a későbbiekben is csupán 

a legalapvetőbb szolgáltatásait használja, 

pedig egy kis odafigyelés a részletekre 

már elég lenne ahhoz, hogy az őrületbe 
kergessük a botcsinálta betörőket. Néz- 
zünk néhány gyakorlatból ellesett példát! 

e — A /eteshadow állományban adjuk 

meg, hogy mennyi ideig engedé- 
lyezzük egy jelszó használatát. Bár 
ez elég kényelmetlen megoldás, 

a rendszeresen váltogatott jelsza- 
vakkal mégis visszaverhetjük az 
olyan támadásokat, amelyek sikeres- 
ségéhez inkább sok idő kell, sem- 
mint számítási teljesítőképesség. 

e A /etcpam.d/passwd állományban 
mind a legkisebb, mind a legnagyobb 
jelszóhosszat növeljük meg. Ha min- 
den más feltétel azonos, akkor igaz 
az állítás, hogy minél hosszabb egy 
jelszó, annál tovább tart feltörni. 

e A /etcpam.d/gdm állományban 
csökkentsük a bejelentkezési kísér- 
letek számát. Azok a törvényes 
felhasználók, akik gyakran vétenek 
gépelési hibákat, ugyan panaszkodni 
fognak, de a behatolással próbálko- 
zókat ez valószínűleg annyira meg- 
zavarja, hogy inkább odébbállnak. 

e Személyesen hagyjuk jóvá a felhasz- 
nálók által választott jelszavakat, 
de legalábbis ragaszkodjunk ahhoz, 
hogy olyan programot használjanak, 
amely biztonságos jelszavakat hoz 
létre, mint például a pwgen. Elmon- 
dani is fájdalmas, milyen sokan 
vannak, akik jelszavuknak a , jelszó" 
szót, legkisebbik lányuk vagy arany- 
haluk nevét választják. 

e — lelepítsünk rendszerünkbe olyan 
programot, mint például a 
crackl1ib2, ami megakadályozza 
a könnyen kitalálható jelszavak 
használatát. Egyénileg összeállít- 
hatunk egy szójegyzéket, amelyben 
megadhatjuk a nemkívánatos szavak 
listáját. Ilyenek lehetnek az ismer- 
tebb cégek, termékek nevei vagy 
a gyakori felhasználói nevek. Bár 
a crack1ib2 helyes beállításához 
szükségeltetik egy kis türelem, és 
a /etce/pam.d állomány néhány sora 
elől is ki kell vennünk a megjegy- 
zéseket, mégis nagyon valószínű, 
hogy a crack1ib2 vagy a hozzá 
hasonló programok az elkövetkező 
években bekerülnek az elterjedtebb 
Linux-változatokba. 

e Ne engedélyezzük, hogy a rendszer- 
gazda távolról is bejelentkezhessen. 


e — Kísérjük figyelemmel, hogy mikor 
járnak le a jelszavak, és szűrjük ki 
a jelszó nélküli felhasználókat. Mind- 
két eset rossz szándékú belépésre 
ad lehetőséget. 

e — Kapcsoljuk ki a gépünket vagy állít- 
suk le a hálózati kapcsolatot, ha már 
nincs rá szükségünk. Ne játszd a 
számítógépes nehézfiút, aki folyton 
azzal kérkedik, hogy milyen hosszú 
ideje nem kellett újraindítani a rend- 
szerét. Hálózati kapcsolat nélkül 
a távoli betörések lehetetlenek. 

A mai rendszerek kockázatos helyzetére 

adott válaszként megnövekedett a 

jelszavas azonosítást igénylő pontok 

száma rendszeren belül. Ha még nem 
tettük meg, a következő helyeken 
alkalmazhatunk jelszavas védelmet: 

e  BIOS: használjuk a jelszavas védel- 
met, és győződjünk meg arról, hogy 
nem kerülhető meg akkor sem, ha 
a rendszert hajlékonylemezről vagy 
CD-ről indítjuk. 

e  Indításkezelők: alkalmazzuk a LILO 
password vagy a GRUB lock 
parancsát. 

e — Távolról elérhető szolgáltatások: az 
SSH-protokoll titkosítva küldi el a 
jelszavakat a hálózaton -— a lelnet- és 
FIP-protokollok viszont nem. Ugye 
nem kell elmondanunk, hogy 
melyiket használjuk. .. 

lermészetesen csak jelszavas védelemre 

támaszkodva mindössze a zöldfülű 
betörők ellen védekezhetünk. Ráadásul 
minél nehezebb feltörni egy jelszót, 
annál nehezebb fejben tartani — ez 
ahhoz vezethet, hogy a felhasználók 

a bonyolult jelszavaikat egy öntapadós 

cetlire írják le, amit azután felragasz- 

tanak a billentyűzetük aljára. 

Még sincs semmi okunk, hogy ne hasz- 

náljuk a jelszavas védelem kínálta biz- 

tonsági előnyöket. Azt pedig végképp 
kerüljük el, hogy kiiktassuk vagy gyen- 
gítsük a jelszavas védelmet -— sajnos ez 

a jelenség kezdi felütni a fejét a mai 

Linux-változatokban abból a célból, hogy 

a Linux jobban hasonlítson az átlagfel- 

használó által használt operációs rendsze- 

rekhez. Az eszközök a kezünkben van- 
nak, rajtunk áll, hogy használjuk-e őket! 


Bruce Byfreld 
(bbyfieldcdoaxionet.com) 
szabadúszó szakíró, 
termékmenedzser, újságíró. 
Amikor nem a számítógépe 
előtt ül, egzotikus madarak 
társaságában mozog, punk-folk zenét 
hallgat, és kedvtelésből fájdalmasan 
hosszú távokat fut. 











Betölthető magmodulok felhasználási módjai 


Védekezzünk a kalózok eszközeivel 


és tegyük biztonságosabbá a rendszerünket a segítségükkel. 


eregnyi számítógépes biztonsági eszköznek közös a 
forrása: gépkalózok világa. Az olyan eszközöket, mint 
a kapupásztázó vagy a jelszófeltörő programok, ere- 
detileg rossz-szándékú emberek tervezték, hogy velük fenye- 
gessék a számítógépes rendszerek biztonságát. Mostanra 
azonban már a rendszergazdák is felhasználják ezeket kiszol- 
gáló számítógépeik és felhasználói nevük biztonságának 
átvizsgálására. E cikk egy ilyen gépkalózötletet mutat be — a 
rendszermagmodul kiaknázását -, és példát ad arra, hogyan 
fokozható a rendszer biztonsága néhány ugyanilyen módszer 
és ötlet felhasználásával. Legelőször a saját ötletem történetét 
és működési elvét fogom felvázolni, ezt követően néhány 
példa segítségével megkísérlem eloszlatni a rendszermag 
programozását körüllengő mítoszt. Végül egy ugyancsak 
hasznos, de terjedelmesebb példát fogok megvizsgálni, amely 
a rendszert érő támadások egész sorozatát segít elhárítani. 
Mielőtt munkához fognánk, szót kell ejtenem még a szabványos 
lemondási nyilatkozatról. Iudatában kell lenned, hogy a rend- 
szermag memóriaterületén levő programhiba képes tönkretenni 
a számítógépedet, a rendszermag területén előforduló végtelen 
ciklus pedig lefagyaszthatja. A fentieknek megfelelően tehát ne 
fejlessz vagy ne próbálgass programmodulokat a termelésben 
közvetlenül résztvevő számítógépen, a fejlesztett programmo- 
dulokat alaposan vizsgáld át, hogy biztosítsd rendszered üzem- 
biztonságát és adataid épségét. Annak érdekében, hogy a prog- 
ramfejlesztés során a rendszerösszeomlásból eredő adatvesztést 
a lehető legkisebbre csökkentsük, a program kipróbálásra virtu- 
ális gépet vagy más működésmódot utánzó programot használ- 
junk, úgymint Bochsot, plex86-ot, felhasználói üzemmódú 
Linux-kaput, avagy VMwaret-t, illetve a munkaállomásra nap- 
lózó állományrendszert telepíthetünk, mint például az SGI XFS- 
rendszere. A fent mondottakon kívül fontos tudni, hogy írá- 
sunkban szereplő példák egyike sem lett SMP-gépen kipró- 
bálva, és nagyon is valószínű, hogy többprocesszoros gépeken 
nem működőképesek. Nos, minthogy a bennünket érintő 
kérdéseket megtárgyaltuk, térjünk át a modulokra. 

Néhány hónapja linuxos belső nyomkövető programon dolgoz- 
tam. Minden folyamatra vonatkozóan nyomon szerettem volna 
követni a rendszerhívásokat az általuk átvett adatokkal együtt. 
A kísérletezgetés során számos megközelítést kipróbáltam, de 
egyik sem volt annyira sikeres, mint amennyire szerettem volna. 
Itt van például mindjárt a 1libc függvény a write ( ) -nál, 
amely lehetővé tette számomra, hogy a C-programokból kezde- 
ményezett write () hívásokat naplózzam, de a dinamikus 
bináris eszközkezelés már csak azokra a végrehajtható állomá- 
nyokra korlátozódott, amelyeket az eszközkezelő könyvtár elemi 
utasításokra tudott bontani (C, C-t - és Fortran). Az, hogy az 
ellenőrzés csak néhány programnyelv által előállított állomány 
átvizsgálására korlátozódik, kisebbfajta megszorítás, hiszen a 
GNU/Linux-rendszeren úgyszólván minden programot C-ben, 
C-t 1-ban, vagy olyan programnyelven írtak, amely rendelkezik 
C, illetve C-- 4 -alapú futásidejű programkönyvtárral, ilyen a Perl 
vagy a Python programnyelv. Csakhogy a szóban forgó megol- 
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dás eme hiányossága engem elméleti szinten valóban zavart. 
Tudtam, milyen egyszerűen félre lehet vezetni a rendszert egy 
kevésbé ismert, nem C-re vagy C-t --ra támaszkodó program- 
nyelvből indított rendszerhívással, vagy egy gépi nyelven 
(assembly) készített. Világos volt, hogy lehetetlen a felhasználói 
területet átvizsgáló, megkerülhetetlen eszközt készíteni, vala- 
mint az is egyértelművé vált, hogy elég nehéz hasznos eszközt 
készíteni úgy, hogy az ember ne ásná be magát a rendszermag 
rejtelmeibe. Minthogy nem kívántam rendszerfoltozással fog- 
lalkozni, és a fordítás-újraindítás-próbálgatás ciklusa sem volt 
vonzó a számomra, nem hittem benne, hogy ezt a kérdést 

a rendszermag területén meg lehet oldani. 

Alighogy aggodalmaimat várakozólistára tettem, és dolgozni 
kezdtem ezen a mostani feladaton, a helyi LUG- (Linux User 
Group) levelezőlistán üzenetet kaptam, amely végül ötletet adott 
nekem. Az üzenet, tulajdonképpen egy továbbított javaslat, a 
rendszermagmodul kiaknázását taglalta. Az emlegetett program- 
modul különösen visszataszító volt, mivel bizonyos rendszer- 
hívások viselkedését módosította, hogy elrejtse magát az lsmod 
parancs elől, valamint láthatatlanná tegye a pásztázókat, jelszó- 
feltörőket és szaglászó (sniffer), valamint a hasonló programokat. 
Kis híján felkiáltottam az irodámban: , Megtaláltam!" Nem kell 
rendszermagfoltozással bajlódnom, vagy újrafordítással és rend- 
szerbetöltéssel bíbelődnöm; eszközkészítés gyanánt egyszerűen 
csak betölthető modult kell fejlesztenem. Felismertem, hogy 

a modulkihasználás mögött rejlő általános módszerbe a rendszer- 
hívások mellé sokféle hasznos tevékenység beállítása belefér, 
ideértve a különböző biztonsági házirendeket, a finomabb han- 
golású biztonságtechnikát (mint amilyet a Unix lehetővé tesz), 

és természetesen a belső nyomkövető programomat. 


Szia, rendszermag! 

A rendszerhívások megváltoztatásának és kibővítésének érde- 
kességeit cikkünk későbbi részében fogjuk megvizsgálni, 
elsőként azonban végezzünk bemelegítő ujjgyakorlatot egy 
rendszermag-példamodulon. Maga a mintaprogram igen 
egyszerű és a mindenki számára kedves első program rokona, 
ugyanakkor a betölthető rendszermodul két alapvető szolgál- 
tatását képes szemléltetni: az init module és a 

cleanup module függvényeket: 

Hinclude -linux/kernel.hsz 

Hinclude -linux/module.hsz 


int init module() ( 
printk("c1:5 Hello, rendszermag! !") ; 
return 0; 


] 


void cleanup module() ( 
printk("-c1:5 Nem sgrtid m meg amiatt, " 
"hogy kit r 1I1tOól a tgzrb 1 engem." 
A viszontlágtEsra!lMn) ; 
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A fordításnál a MODVERSION elnevezésre a ttdefine, 
ugyanakkor a linux/modversions.h állományra vonatkozóan az 
ttinclude irányelvet kell használni a rendszer telepítésének 
megfelelően. Nevezzük parányi programunkat hello.c-nek, és 
fordítsuk le a következő utasítással: 

ge. c. -DMODULB -D KERNEKG . hello. c 

A fentiek után a jelenlegi könyvtárban létrejön a hello.o névvel 
rendelkező állomány. Amennyiben az X éppen működik, 
indítsuk el a parancsmódú konzolt, és rendszergazdaként 
gépeljük be az insmod hello. o parancsot. Ekkor a , Hello, 
rendszermag!" üzenetnek kell a kép- 
ernyőn megjelennie. Annak ellenőr- 
zésére, vajon a modul betöltődött-e 


a memóriába, használjuk az lsmod Name lype 
parancsot: ez megmutatja, hogy uid uid t 
a modul betöltése megtörtént és a euid uid t 
modul mekkora tárterületet foglal el. gid gi "E 
Most az rmmod-dal eltávolíthatjuk 5 EST 

j , evi egid gid t 
a szóban forgó modult: ekkor tájé- ; § 
koztatót kapunk arról, hogy a BIG PEST 
modul memóriából való törlése RGrb pid t 
megtörtént. A linux/kernel.h és a p. opptr task struct" 
linux/module.h függvényprototípus- Ís Ís struct" 
állományok bármilyen programfej- blocked sigset t 


lesztés két legfontosabb állománya, 

így valószínű, hogy erre neked is 

szükséged lesz, bármilyen modult is fejlesztesz. A legelőnyösebb 
— a modversions.h-tól eltérően -—, ha ezek a függvényprototípus- 
állományok a /usr/include/linux könyvtárban találhatók, és nem 
a linuxos forráskód könyvtárfájában. A baj az, hogy a gyakorlat 
hajlamos nagyszabású leállásokhoz és fejfájáshoz vezetni. Bár- 
milyen jelentősebb modulhoz számos további rendszermagpro- 
totípus-állományt kell használni, és aprogrammodulok fejlesz- 
tése közben a grep -1 /usr/incl1ude/ linux parancsot jó 
barátnak fogod tartani. 

Gondolj a programodban az init module-ra az elem létre- 
hozójaként: ez a függvény lefoglalja a szükséges tárterületet, 
kezdőértéket ad a változóknak és úgy változtatja meg a rend- 
szer állapotát, hogy a modulod is el tudja látni a feladatát. 
Ebbenazinit module nem tesz egyebet, mint egyszerűen 
jelzi a jelenlétét, majd 0 (nulla) visszatérési értékkel mutatja 
működésének sikerességét, több C-függvényhez hasonlóan. 
Ezért a hello modul kezdeti értékadásában kizárólag a printk 
függvény hívása szerepel, amely különösen jól használható, 
rendelkezésünkre álló függvény. Lényegében a szabványos 
C-nyelvi függvénynek, a printf-nek megfelelően működik, 
két eltéréssel. Elsőként a printk a legszembetűnőbb módon 
lehetővé teszi, hogy az üzenet számára előnyben részesítési 
vagy rangsorolási számot adjunk meg: a relációs jelek közé zárt 
egyes számjegyet. Másodszor a printk a kimenetét folyama- 
tosan a használt átmeneti területnek küldi, amelyet viszont a 
rendszermagnaplózó használ fel, s ezt ezen kívül a syslogd 
is megkapja. Minthogy a syslog kimenete gyakran ürítésre 
kerül, a gondosan kiválasztott helyre beszúrt, magas rangso- 
rolási számú üzenettel a hibakeresést nagymértékben elősegít- 
hetjük — különösen amiatt, hogy a rendszermag tárterületén 
levő hiba hajlamos a gép összeomlásához vagy a rendszermag 
kisebb rendellenességeihez vezetni. 

Nos, miért is ne használnánk éppen a printf-et? A válasz 
egyszerű: nem használjuk, mert nem tudjuk használni. A Linux- 
rendszermag nem kapcsolódik a C-könyvtárhoz, emiatt az 
olyan jó öreg bútordarabok, amilyen a printf is, nem érhető 


at tp 


el a rendszermag területén lévő kódban. Viszont magában a 
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A hasznos ,task struct" elnevezései 


rendszermagban rengeteg könyvtári eljáráshoz hasonló utasí- 
tássorozat létezik, beleértve a C-programkönyvtár karakterláncot 
kezelő str-függvényeinek legtöbbjét. 

A fent leírtaknak saját modulban történő használatához csak 

be kell fűzni a linux/string.h állományt - kérlek, vigyázz, nehogy 
a C-könyvtárbeli változatot fűzd be! Haazinit module-t 
létrehozó modulnak tekintjük, akkor a remove module-t 
eltávolító modulnak kell tekintenünk. Amennyire csak lehetsé- 
ges, gondoskodj a program által hátrahagyott felesleges adatok 
eltávolításáról. Abban az esetben, ha nem tudsz tárterületet 
felszabadítani vagy adatszerkezetet 
helyreállítani, a normál üzemmód- 
hoz való visszatérés végett a gépet 


Description újra kell indítanod. 
User ID 
Effective user ID Egy másik érdekes modul 
Group ID Most rátérünk a haladó szintű 
Effective group ID nehézségekre. Az 1. lista 

(2 http:/www.linuxvilag.hu/ 
Process ID 


Magazin.html/) olyan program- 
modult mutat be, amely naplóz 
minden uid 0-tól (rendszergazda) 
és uid 500-tól (jómagam a saját 
munkaállomásomon) eltérő fel- 
használótól érkező írási rendszer- 
hívást, amennyiben valahol az 
ideiglenes tárterületen előfordul a Linux szó. Megeshet, egy 
kicsit erőlködni kell, hogy ennek a modulnak önmagában való 
hasznát belássuk, de kezeskedem, több hasznos elgondolást is 
bemutat. Mindezt úgy tehetjük meg, ha az írási rendszerhívást 
a saját függvényünkkel helyettesítjük, amely elvégzi az 
ellenőrzést, majd a naplózást és végül kiadja az írási kérelmet. 
Nos, rajta, haladjunk végig a példán lépésről lépésre! 

Fordíts figyelmet valamennyi befűzendő (include) állományra. 
lermészetesen seregnyi van belőlük, de azért mégsem kell 
kétségbe esnünk, bennünket most csak a linux/sched.h és az 
asm/uaccess.h állományok érdekelnek. A sched.h állomány 
lehetővé teszi a hozzáférést a pillanatnyi task struct szerke- 
zethez a current makróutasításon keresztül, valamint a pilla- 
natnyi folyamat számos hasznos jellemzőjéhez (a task struct 
által biztosított adatokat a táblázatunkban láthatod). Az uaccess.h 
állomány viszont a felhasználói adatterületről szolgáltat adatokat 
(részletes tájékoztatás alább található). 

Még ez a néhány mező a task struct adatszerkezetben is 
elegendő ahhoz, hogy néhány érdekes modult működőképessé 
tegyen. Legyen-e szabad tetszőleges felhasználónak a su 
paranccsal rendszergazdaként tevékenykednie? Ha szükséges, 
meggátolhatod ebben, becsomagolva a SETUID-ot, és ellenőrizve 
az előre beállított UID-okat, mielőtt a valódi azonosítók (SETUID) 
felbukkannak. Ennek segítségével a rendszermag szintjén alakít- 
hat ki ,kormánycsapatot" (wheel group), azaz olyan csoportot, 
amelynek tagjai a su parancson keresztül rendszergazdai jogokat 
gyakorolhatnak. A Szabad Program Alapítvány (Free Software 
Foundation -— FSF) már régóta azon a véleményen van, hogy a 
wheel group a hatalomelvű rendszergazdák eszköze (bővebben 
a GNU su leírásában olvashatunk a témáról). 

Az a képesség, hogy a rendszerhívások viselkedését csupán 

az azokat kezdeményező felhasználói azonosító (UID) alapján 
megvizsgáljuk vagy megváltoztassuk, nyilvánvalóan nagy 
teljesítmény. Megteremnti a jó házirend alapjait, amelyben meg 
lehet szabni a nobody" felhasználónak és társainak az uucp-, 
levelező- és Postgres adatbázis-felhasználók tevékenységi 
körét. Az említetteken kívül még hatékonyabb módszer is 


Process group ID 
Original parent task 
Filesystem information 
Set of blocked signals 





létezik az átadott érték alapján a viselkedés megváltoztatására. 
Egyelőre figyelmen kívül hagyjuka sys call table (rend- 
szerhívások táblázata) és az origwrite rendszerváltozókat, 
és közvetlenül a wrapped write függvényre térünk, amely 
nemcsak a hívó folyamat felhasználói azonosítóját (uid), de 

az átmeneti terület jellemzőjét is megvizsgálja. A legelső dolog, 
amelyet észre kell vennünk, az, hogy a wrapped write pon- 
tosan egy kmalloc függvényhívással indul. Jó, de miért nem 
a mal1loc-ot használjuk? Gondoljunk vissza a fentebb mondot- 
takra: még mindig a rendszermag területén vagyunk és nem 
férünk hozzá a malloc és egyéb szabványos könyvtárbeli 
függvényhez. De ha még hozzá is férnénk, minthogy a mal1loc 
hívása felhasználói területre utaló mutatót ad vissza, ez ha- 
szontalan lenne. A rendszermag területén kell helyet foglalni, 
ahová a buf értékből bemásolhatjuk az adatokat. Fontos ez 

a mozzanat: a tárban ugyanaz a rendszermag és a felhasználói 
adatterület közötti láthatósági korlát, amely megakadályozza 

a felhasználói programokat, hogy a rendszermag tartalmát 
módosítsák, valami hozzátesz valamennyit rendszermag-prog- 
ramozói gyakorlatunkhoz is. Amikor egy C-programból a 
write utasítást meghívjuk, egy felhasználói tárterületre utaló 
mutatót adunk át, amely a rendszermagból nem érhető el. 
Ezért amennyiben felhasználói adatterületen levő mutató által 
kijelölt adaton szeretnénk műveletet végezni, először is a rend- 
szermag területére kell másolni. Ezt megteszi a copy from user 
makróutasítás, amely három értéket használ: a , hová" mutatót, 
a , honnan" mutatót és a számlálót. 

A wrapped write hátralevő része meglehetősen egyszerű, 
feltéve, hogy ismerjük a jelenlegi állapotot és atask struct 
tartalmát. lalán egy ugyanilyen szórakoztató modul az strstr 
függvényt használná a , Pocsék Linux" karakterlánc keresésére, s 
ha megtalálta, awrite buf átváltoztatná. ,A Linux a nyerő" -re, 
majd visszaírná a felhasználói adatterületre accopy to user 
makróutasítással, még az eredeti írási utasítás kiadása előtt. 
Ekkor, ha a gyanútlan felhasználó a , Pocsék Linux" kifejezést 
használta, most , A Linux a nyerő" karakterlánccal lesz helyet- 
tesítve. E helyen a kfree fontosságára kell felhívnom a figyel- 
met. A , szivárgó" memóriaterületek nemkívánatosak a rendszer- 
magban, ezért fordítsunk nagy gondot arra, hogy kfree-vel 
mindent felszabadítsunk, amit a kmal1 10oc-kal lefoglaltunk. 
Valójában az init module-ban van elhelyezve az a kapcsoló, 
mely alapján a vezérlést az eredeti függvény helyett az álta- 
lunk írott függvény kapja meg. Emlékezzünk vissza, hogy 

asys call table tulajdonképpen a függvényekre utaló 
mutatók tömbje. A SYS write indexértékének - vagyis az írás 
iránti rendszerhívásnak megfelelő állandó — megváltoztatásával 
az eredeti írási tevékenység újjal helyettesíthető. Minden eset- 
ben gondoskodj az eredeti függvény mentéséről, hogy a saját 
függvénytárból való törlésed után az eredetit vissza lehessen 
tölteni a tárba. Most bemutatott modulunkat ki lehet próbálni, 
ha fordítás után és telepítését elvégzed az insmod-dal, majd 
0-tól és 500-tól eltérő felhasználói azonosítóval kiadod a su 
parancsot, és beírod a konzolon, hogy 

secho " n kedvelem a Linuxot." 

Ekkor a rendszermag üzenetet fog küldeni, hogy már megint 

a Linuxot hoztad szóba. Gratulálunk! 


Az utolsó példa 

A 2. lista - amely egyébként az 3 http:/www.linuxvilag.hu/ 
Magazin.html/ webcímen található meg - , egy olyan hasznos 
modult mutat be, amely segít megvédeni a gépünket, hogy ne 
essen veremromboló támadások áldozatául. Az ilyen támadá- 
sok alapvetően rögzített hosszúságú ideiglenes tárterület végén 
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túli területre kívánnak írni, ily módon felülírva a pillanatnyilag 
futó függvény visszatérési címét, amely rendszerint valamilyen 
végrehajtható állományra (/bin/sh...) való ugrás. Mivelhogy 
a httpd, fingerd, vagy wu-ftpd programoknál nincs értel- 
me héjprogramokat futtatni, a következőkben ismertetünk egy 
módszert, amellyel ez a lehetőség kizárható. Mostanra már 
talán akkora gyakorlatra tettél szert, hogy a példában szereplő 
programkód java teljesen érthető lesz a számodra, mindössze 
talán egy kivétellel, a strncpy from user függvényt leszá- 
mítva. Ahogyan bizonyára már kitaláltad, ez a függvény szinte 
pontosan úgy működik, mint C-könyvtárbeli rokona, és okos 
eszköz arra, hogy a felhasználói tárterületről nullavégű karak- 
terláncot hozzunk át. Mivel a programkód egyszerű, röviden 
át fogjuk tekinteni a megközelítést, és utána rád bízom, hogy 
újabb gondolataidat megvalósítva miképpen fokozod 
számítógépes rendszered biztonságát. 
A 2. listában bemutatott programot könnyű üzembe állítani. 
Nem annyira hatékony vagy nagyteljesítményű, mint amek- 
korát talán elvárnánk. Mivel a programkód írásánál az egyér- 
telműség volt a fő irányelv, a wrapped execve modulban 
könnyű a soros keresést valami hatékonyabbra cserélni. 
Tulajdonképpen amit ez a modul tesz, nem más, minthogy 
újra meghatározza a ki11 rendszerhívásokat, téve ezt olyan 
módon, hogyha 42-es jelet küldök egy folyamatnak, akkor 
felkerül a ,nem biztonságos" folyamatok listájára, vagyis 
egy olyan listára, amelyben a folyamatok nem engedik futni 
az sh betűket tartalmazó parancsokat. A 42 az egyik valós 
idejű jel, talán éppen használaton kívül van. Amennyiben 
mégis használod ezt a jelet, bátran helyettesítsd bármilyen 
32 és 64 közötti számmal. Az execve ellenőrzi, vajon a 
folyamat biztonságos-e, és ha nem az, megpróbál-e héjprog- 
ramot indítani. Ha erre a kérdésre is igenlő válasz adható, 
akkor a program sikeresen befejeződik anélkül, hogy bármi 
történt volna. A kiszolgáló számítógép minden folyamatánál 
könnyű használni ezt a modult, csupán csaka kill -42 

. sort kell beszúrni az kezdeti értékeket beállító 
héjprogramokba. 
A 2. lista fejlődésbeli lépést képvisel az 1. listához képest: 
megmutatja, hogy a rendszerhívási útvonalhoz nemcsak visel- 
kedésmintát lehet adni, de a rendszerhívások lefutása is módo- 
sítható. Röviden: hasznos munkát végez nekünk. Remélem, a 
szerény példák mindenkit legalább annyira lázba hoztak, mint 
amennyire a rendszermag kiaknázásának lehetőségei engem 
felvillanyoztak, hogy növeljem a rendszer biztonságát. E cikk 
megadja az elinduláshoz szükséges segítséget, és a kapcsolódó 
címeken - részben Linux-programozók számára - a leírások 
bőséges tárháza található, amely segít az összetettebb és 
szolgáltatás-központúbb modulok megalkotásában. 


William C. Benton 

(willboacm.org) egyetemi tanulmányait a University of 
Wisconsinon folytatta. Párhuzamos programok teljesítmény- 
figyelése, valamint biztonsági nehézségek programnyelvi 

és fordítási megközelítése iránt érdeklődik. 
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GPG, a legjobb szabad titkosító program (1. rész) 


Bevezető az alulértékelt, szágszázalékosan szabad segédeszköz használatába, 
amelyről nem tudtad, hogy szükséges (pedig az) — a GnuPG. 


a PGP v1.0-t (Pretty Good Privacy). Az ekkor még 
üldözési mániások titkos eszközének tartott PGP mára 
a levelezés titkosításának legelfogadottabb szabványává — mi 


T íz év telt el azóta, hogy Phil Zimmermann megjelentette 


több, internetes szabvánnyá -— vált. A GnuPG (GNU Privacy Sá 
























Guard) a kereskedelmi forgalomban kapható PGP 
szabadon felhasználható változata, és a legtöbb 
Linux-terjesztés tartalmazza. Ennek ellenére mégsem 
használják annyian, amennyien megtehetnék. 

Te is azok közé tartozol, akik idegenkednek a GnuPG 
használatától? Ez a kétrészes cikk remélhetőleg téged 
is meggyőz alkalmazásának fontosságáról. Miután 
legyártottad a személyes kulcsaidat és elküldted az 
első titkosított leveledet, továbbá ellenőrizted annak  [/5 
a szuper jó programnak a biztonsági aláírását, lev: 
amelyet az imént töltöttél le, örülni fogsz, hogy B 
elfogadtad a kihívást és megismerkedtél ezzel 

a többszolgáltatású csodával, a GnuPG-vel. 

Az első részben a PGP/GnuPG hátterével, 

a hozzá kapcsolódó fogalmakkal foglakozunk, 
majd rátérünk a gyakorlati alapokra. A második 
részben részletesebben tárgyaljuk a fájl- és 
levéltitkosítást, a kulcskezelést és a grafikus 
felhasználói felületeket. 





Néhány szó a PGP történetéről, 

és arról, hogy miért nem a PGP-ról írok 
1991-ben, amikor az amerikai kongresszus arra 
készült, hogy törvénytelennek minősítse a 
titkosító programok magáncélú használatát, Phil 
Zimmermann megjelentette a PGP v1.0-t. Ez az 
eredetileg szabadon felhasználható eszköz tette lehetővé a 
számítógép-felhasználók számára, hogy titkosítsák a személyes 
adataikat és a levelezésüket. Ez annyira hatékonynak bizo- 
nyult, hogy a legelszántabb és biztos anyagi háttérrel rendel- 
kező kíváncsiskodók számára is fejtörést okozott (ide sorolandó 
például az Egyesült Államok kormánya). 

Phil Zimmermann története fontos és magával ragadó, elol- 
vashatod Simon Garfinkel könyvében, amely Phil weblapján 
(lásd Kapcsolódó címek) is megtalálható. Most legyen elegendő 
annyi, hogy a kormány nyomozása, a szabadalmi bonyodal- 
mak és a céges felvásárlások ellenére a PGP tovább fejlődött -, 
Zimmermann elképzeléseinek megfelelően szolgálva a magán- 
személyek és céges felhasználók igényeit világszerte. 

Amikor ezt leírom, a tágabb értelemben vett PGP-re gondolok, 
amely a PGP-n kívül az OpenPGrF-t, valamint a GnuPG-t is 
jelenti. Ez utóbbi megjelenése eredményezte a PGP kulcs- és 
üzenetformátumának internetes szabványként való elfogadását 
(az RFC 2440 rögzíti). Ezáltal a PGP teljesen szabad megvaló- 
sítása minden felhasználó számára elérhetővé vált a világon. 
Annak ellenére, hogy Zimmermann kétségkívül a nyílt forrás- 
kód egyik igazi úttörője, a Network Associates Inc. (NAI) által 
terjesztett PGP általában gondot okozhat a nyílt forrás hívei- 
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nek, a linuxosok számára pedig különösképpen. A legszembe- 
tűnőbb nehézség, hogy a kereskedelmi forgalomban kapható 
PGP csak Windowson és Mac 0O5$-en fut. Másodsorban a PGP 
Freeware is csupán a nem üzleti felhasználók számára 
ingyenes, azaz az oktatásban dolgozók és a nem 


asszon haszonelvű szervezetek számára. Harmadsorban 


a NAI nagymértékben csökkentette a PGP forrá- 
sának azon részét, amelyet kódátvizsgálás céljából 
nyíltan elérhetővé tesz. 

Ez utóbbi fejlemény eredményeképpen Phil Zimmer- 

. mann lemondott a PGP Securitynél betöltött tisztsé- 

géről. Felvetődik a kérdést, hogy vajon megbíz- 
hatunk-e a PGP NAIl által terjesztett változatában? 

i Ismervén az amerikai kormány titkosítással kap- 

csolatos kedvezőtlen álláspontját és a próbálko- 

zásaikat, hogy a titkosítással foglalkozó progra- 

mokba hátsó kapukat építtessenek, túlságosan 

. könnyű elképzelni, hogy a NAI enged a 
nyomásnak, és valóban létrehoz ilyen hátsó 
bejáratokat. 
Mivel a nyilvánosság számára a PGP forrása 
nem érhető el teljes egészében, nem áll mó- 
dunkban ellenőrizni a NAI állításait, melyek 
szerint a program biztonságos. 

A GnuPG ezzel szemben teljesen nyílt forrású és 

ingyenes programcsomag, nagyjából ugyanazt 
nyújtja, mint a PGP (hiányzik belőle a VPN- 

b... támogatás és a lemezkötet-titkosítás — ezek 

azonban megtalálhatók a PGP Desktop- 

ban). Rövid idő alatt a GnuPG lett 

a Linux-felhasználók legkedveltebb levél- és adattitkosító prog- 

ramja, hiszen minden Linux-terjesztésben fellelhető. A GnuPG 

fejlesztés alatt áll, melynek vezető fejlesztője Werner Koch. 


Mi az a GnuPG és miért van rá szükséged? 

A GNU Privacy Guard egyetlen futtatható állományból áll, a 
gyg-ből. Valójában a csomag még egy gpgv nevű programot is 
tartalmaz, de ez a program a gpg szolgáltatásainak kényelmi 
szempontok szerint kiválogatott elemeit öleli fel, így bátran 
állíthatjuk: a futtatható gpg mindent tartalmaz. Így lehetővé 
válik, hogy felváltva alkalmazzam a gpg és GnuPG kifejezé- 
seket — ezt ki is használom a cikk hátralevő részében. A PGP 
kifejezést is tágabb értelmében fogom használni: nemcsak a 
NAI által forgalmazott termékre, hanem a PGP az OpenPGP 
és a GnuPG közös protokolljára, eljárásaira és a bizalomhálóra 
(Web of Irust) is. 

A GnutrG több kiegészítő szerep mellett négy főbb feladatot lát 
el: az adattitkosítást, a titkosított adatok megfejtését, a digitális 
aláírás kezelését és ellenőrzését. A program segítségével létre- 
hozhatjuk és kezelhetjük a titkosításhoz szükséges kulcsokat 

— ezek olyan tevékenységek, amelyek nem játszanak közvetlen 
szerepet a titkosításban, mégis elengedhetetlenek. 
Egyszerűbben fogalmazva a GnuPG-t fájlok — kifejezetten 





Igény az igazi bizalomra 


Széljegyzet 

Képzeljük el a következőt: valaki létrehoz egy hamis kulcspárt egy 

programfejlesztő nevében, feladja a nyilvános kulcsot pgp.mit.edu-ra 

(egy népszerű kulcskiszolgáló), majd a programcsomagot egy Víruso- 

kat tartalmazó csomagra cseréli ki, és létrehozza a megfelelő aláírást. 

Mi akadályozza meg ebben? Semmi. A Tripwire-höz hasonlóan a PGP 

nem gátolja meg a hamis fájlok létrehozását, csak figyelmeztet. 

Ha a csomagot és a hozzá tartozó aláírást is meghamisították, jó 

esetben a következők egyike történik: 

e — Amikor ellenőrizni próbálod az aláírást, a GnuPG figyelmeztetni 
fog, hogy az a kulcs, amivel az aláírást létrehozták, eltér attól, 
amit a legutóbb használtak (erre a figyelmezetésre akkor nyílik 
lehetőség, ha már rendelkezel az eredeti nyilvános kulccsal). 

e . Ha még nincs a nyilvános kulcsokat tartalmazó kulcscsomón 
a fejlesztő nyilvános kulcsa, észre fogod venni, hogy a kulcs 
azonosítója nem egyezik meg azzal az azonosítóval, amit az igazi 
fejlesztő használ a fórumokra írt leveleiben vagy a webkiszolgá- 
lóján. (Igen, lehet, hogy ehhez egy kicsit keresgélni kell a Weben). 

e — Valaki más már észrevette a kulcsok körüli furcsaságokat, és a 
gondot elhárítják, még mielőtt megpróbálnád ellenőrizni az aláírást. 

Nagyon könnyen előfordulhat, hogy a fent felsoroltak közül sajnos 

egyik sem történik meg. A fentiekben ecsetelt csalás után nagy való- 

színűséggel a következő események várhatók: néhány felhasználó 
letölti a trójai falovat, és a legtöbbjük meg sem próbálja ellenőrizni 

az aláírást. Ők nekifognak és azonnal telepítik a hamis programot. 

Rajtuk kívül még sok felhasználó letölti a programot, majd a hamis 

aláírás által megkövetelt hamis nyilvános kulcsot, ellenőrzik az aláí- 

rást, majd boldogan telepítik a hamis programot. 

Szerencsére az is elegendő, ha csupán egyetlen felhasználó (aki ren- 


levelek - titkosítására és a titkosított üzenetek, valamint mel- 
lékletek megfejtésére, továbbá dokumentumok, programfor- 
rások és más elektronikus adatok digitális aláírására és az ilyen 
aláírások ellenőrzésére használják. A digitális aláírás ellenőrzé- 
sével megállapíthatjuk, hogy az adott fájlt ténylegesen az írta 
alá, aki állítja magáról, valamint azt is, hogy a fájl tartalma nem 
változott-e meg az átvitel során (nem módosították-e rossz- 
hiszeműen). A program segítségével a két legfontosabb kulcs- 
csomót is kezelhetjük: a személyes kulcsokat tartalmazó , titkos 
kulcscsomót" (secret keyring), és az ismerőseink, munkatár- 
saink, üzletfeleink nyilvános kulcsait tartalmazó , nyilvános 
kulcscsomót" (public keyring). 

A GnutrG nyilvánvalóan akkor szükséges, ha más GnuPG-fel- 
használókkal (vagy OpenPGP-megfelelő programokat haszná- 
lókkal) szeretnél titkosított üzeneteket váltani. A program lehe- 
tőséget nyújt a helyi merevlemezen található fájlok titkosítására 
is. Ennek akkor lehet értelme, ha például hordozható számító- 
gép merevlemezéről van szó és fennáll az eltulajdonítás veszélye. 
Ha egyetlen ismerősöd sem használ GnuPG-t vagy PGP-t, 

és úgy érzed, hogy nincsenek titkosításra szoruló adataid, 
még mindig létezik egy ok, ami miatt érdemes megismer- 
kedni a GnuPG-vel: ez a programcsomag-aláírás. Néhány 
forgalmas nyilvános FIP-kiszolgáló feltörésének következ- 
ménye - amikor a letölthető programcsomagokat hamis 
,trójai falovakkal" helyettesítették -, hogy a biztonságra 
valamit is adó programfejlesztők elkezdtek digitálisan aláírt 
programcsomagokat terjeszteni. 
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delkezik a fejlesztő eredeti kulcsával) észreveszi a csalást és meg- 
kongatja a vészharangot. Remélhetőleg elég korán teszi meg ahhoz, 
hogy a kevésbé figyelmes felhasználók hamisítványtelepítése meg- 
akadályozható legyen. A történetből két tanulságot is levonhatunk: 
kiemelkedően fontos, hogy a lehető legtöbb felhasználó alkalmazza 
is a GnuPG-t az aláírások ellenőrzésére, valamint azt is meg tudják 
állapítani, hogy az aláírást érvényes kulccsal hozták-e létre. 
Véleményem szerint ez megkérdőjelezi azt a gyakorlatot, hogy 

a programcsomagot, az aláírását és az aláíró nyilvános kulcsát ugya- 
nazon a kiszolgálón tartják. Az egész kiszolgálót sem nehezebb meg- 
hamisítani, mint a részeit. 

Utolsóként álljon itt ismét egy példa a központi szervezetekbe 
vetett bizalom buktatóiról. Emlékezzünk, hogy márciusban a Micro- 
soft bejelentette: két microsoftos digitális aláírás hamisítványnak 
bizonyult, amelyet a VeriSign által hitelesnek minősített. (A prog- 
ramcsomagok és frissítések hitelesítéshez a Microsoft a saját 
megvalósítását — a GnuPG/PGP-vel azonos elven működő digitális 
aláírásokat — alkalmazza). 

Ha valaki a hamis tanúsítványokkal aláírt volna egy módosított 
Internet Explorert, és elérte volna, hogy ez a hamisított csomag 

a Microsoft weblapjáról letölthető legyen, az álbprogramot telepítő 
felhasználónál megjelent volna a felbukkanó ablak, amely arról 
tájékoztat, hogy a telepítésre kerülő program a VeriSign szerint 
biztonságos forrásból származik. 

Ez történik, amikor az emberek, különösen az olyan szervezetek, mint 
a VeriSign, nem fordítanak kellő figyelmet arra, hogy milyen kulcsok- 
ban bíznak meg vagy akár írnak alá. A Microsoft a hamis kulcsok 
létezését csak három hónappal a felfedezésük után jelentette be. 
Ellenőrizd az aláírásokat — ne bízz vakon minden kulcsban! 


Így működik a nyilvános kulcsú titkosítás 

A nyilvános kulcsú titkosítás (PK crypto) alapjairól már esett 
szó , Az OpenSSH száz meg egy előnye" című írásunkban 
(Linuxvilág, 2001. tebruár—-március, 62. oldal). A témakör azon- 
ban annyira lényegbevágó, hogy érdemes vele újra foglalkozni, 
annál is inkább, mert a GnuPG-vel is kapcsolatos. 
Emlékezzünk, a PK crypto alapjai egyszerűek: mindenkinek 
két kulcsa van, egy nyilvános kulcs és egy személyes titkos 
kulcs. Egy adott nyilvános kulccsal titkosíthatjuk a nyilvános 
kulcs tulajdonosának szánt adatokat, valamint ellenőrizhetjük 
a kulcs tulajdonosa által aláírt fájlokat. Titkos kulcsunkkal 
fejthetjük meg a hozzánk érkező titkosított üzeneteket, és 
hozhatunk létre digitális aláírást. 

A nyilvános kulcsokat terjesztésre szánják. Akinek a nyilvános 
kulcsodat odaadod, kódolt üzenetet küldhet neked, és elle- 
nőrizheti digitális aláírásod hitelességét. 

Ennek megfelelően a személyes kulcsnak szigorúan titkosnak kell 
lennie, a jogtalan másolástól és felhasználástól gondosan meg kell 
védeni. Fontos, hogy a neked szánt adatokat lehetőleg csak te 
fejthesd vissza, és csak te állíthass ki magadnak hiteles aláírást. 

A nyilvános kulcsokat sokféleképpen lehet terjeszteni, ezeknél 
ugyanis a sértetlenség a fontos, nem a titkosság. Titkos kul- 
csaidat biztos helyen kell tartanod, például egy olyan könyvtár- 
ban, amire csak te rendelkezel olvasási joggal, továbbá hosszú 
és nehezen megfejthető jelmondatot kell használnod. Ezt a 
jelmondatot kell megadnod, amikor a titkos kulcsodat haszná- 
lod (nemsokára elárulom, hogyan teheted meg). 
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A fent leírtak minden PK crypto rendszer esetében megegyez- 
nek. A rendszerek - az SSH, a PGF illetve a GnuPG és egyéb 
PK-alkalmazások - közötti különbség a nyilvános kulcsok ter- 
jesztésében és hitelességük megállapításában rejlik. Ez nagyon 
fontos, mert bármilyen gondosan őrzöd a titkos kulcsodat, 
komoly gondban leszel, ha nem lehet különbséget tenni az 
igazi és az ellenségeid által terjesztett hamis nyilvános kulcsok 
között (lásd az Igény az igazi bizalomra című széljegyzetet). 
Az SSH esetében ez a kérdés nem igazán megoldott. Ha Béla 
barátod szeretne belépni a kiszolgálódra, és ehhez a DSA 
kulcspárját óhajtja használni, akkor a nyilvános kulcsot elküldi 
neked levélben. Ezután rajtatok áll, hogyan döntitek el, hogy 
a kulcs valóban hiteles-e (a legtöbb esetben felhívod Bélát 
telefonon és beolvasod neki a kulcs egy részét). 

A GnuPtG és a PGP esetében a kulcsok valódiságának ellenőr- 
zésére léteznek eljárások, de rajtad áll, hogy ezeket a lehetősé- 
geket kihasználod-e. Ezeknek az eljárásoknak az összességét 
bizalomhálónak nevezzük. 


A bizalomháló 

A bizalomhálót nem nehéz megérteni. Ha Béla ismeri lamást 
és aláírja lamás kulcsát; bárki, aki ismeri Bélát, megbízhat 
lamásban is, tehát ha Béla aláírja lamás nyilvános kulcsát 

a saját (Béla) titkos kulcsával, akkor lamás terjesztheti a Béla 
által aláírt nyilvános kulcsot. Ha valaki birtokolja Béla nyilvá- 
nos kulcsát és megkapja lamás Béla által aláírt nyilvános 
kulcsát, ellenőrizheti Béla aláírásának valódiságát, ami igazolja 
lamás kulcsának valódiságát. 

Minél többen írják alá Ilamás nyilvános kulcsát, annál nagyobb a 
valószínűsége, hogy ha valaki megkapja lamás nyilvános kulcsát, 


44 Linuxvilág 


annak valódi kulcsát egy ismert kulcs alapján ellenőrizni tudja. 
Ugyanez érvényesül azokra is, akik Iamás kulcsát aláírták. Ha 
lamás elküldi nekem a nyilvános kulcsát, de nem ismerem se 
Tamást, se Bélát, akkor Béla aláírása nem hat meg egy csöppet 
sem. De ha Béla kulcsát aláírta Aladár, aki az én jó barátom, 
megbízom a kulcsában és rendelkezem vele, megbízhatok Béla 
kulcsában (hiszen Aladár aláírta) és így lamás kulcsában is. 
Innen származik a , háló" elnevezés. 

Ez az eljárás lényegesen eltér a VeriSign és az Entrust mintá- 
jától, ahol egy központi, mindenki által elismert szervezet (PKI 
— public key infrastructure) hitelesíti az összes nyilvános kul- 
csot. A bizalomháló — még ha messze is áll a tökéletességtől — 
hibatűrő rendszer: a bizalom megoszlik. (A széljegyzetben 
láthatsz olyan esetet, amikor a VeriSign modellje nem működik). 
A bizalomháló legtőbb gyengesége abban lappang, hogy kevés 
felhasználó veszi a fáradtságot arra, hogy aláírja mások kulcsait, és 
ellenőrizze az aláírások valódiságát, azaz nem jön létre igazi háló. 
Az árva (aláírások nélküli) kulcsok jelensége sajnos teljesen szok- 
ványos. lermészetesen a te kulcsaid nem maradnak aláírás nélkül, 
igaz? (Ugye, nem? Hiszen már írásunk puszta olvasásával is jó 
úton haladsz a PGP illetve GnuPG bizalomháló erősítése felé.) 
Ha már megemlítettem a PKI-kat, el kell mondanom, hogy 
léteznek PGP-kulcskiszolgálók is. Ezek hatalmas nyilvános 
kulcstárak, de csak a kényelmet szolgálják. A PKI-ktől eltérően, 
ahol a hitelesítő szervezettől letöltött kulcsban a meghatározás 
alapján megbízhatsz, a bizalomháló esetében nincs biztosíték az 
eredetre. A PKI-t az anyakönyvi bejegyzéshez hasonlíthatjuk, 

a PGP kiszolgálókat pedig egy klub havonta megjelenő hírle- 
veléhez. Mindkét forrásból megtudhatod valakinek a születés- 
napját, de a két forrás megbízhatóságában nagy a különbség. 


A GnuPG beszerzése, fordítása és telepítése 

A GnuPG, mint már említettem, a legtöbb Linux-terjesztés része. 
Minden biztonsággal kapcsolatos programra, tehát a GnuPG-re 
is igaz, hogy nem árt, ha a legfrissebb változatot használod. 
Időnként érdemes ellátogatni a 8 http:/www.gnupg.org 
weblapra és tájékozódni az új kiadásokról. 

lermészetesen a GnuPG forráskódja is innen tölthető le, amire 
akkor van szükséged, ha a programot forrásból szeretnéd 
fordítani, esetleg nincs futtatható csomag a rendszeredhez. 
Egyszerűen töltsd le a csomagot egy tetszőleges könyvtárba 

(a /usr/src jó választás), és add ki a következő parancsokat: 

ad /üstjsesrő 

tár -XzVvE €enüpg-el 0.6.tat.gz 

cd gnupg-1.0.6 

. /configure 

make 

make check 

make install 

Megjegyezném, hogy a csomag neve eltérhet. Amikor ezt a 
cikket írom, a GnuPG legfrissebb változata az 1.0.6-os. Mikorra 
azonban olvasni fogod az írásomat, előfordulhat, hogy már 
kiadták egy frissebb változatát. Ugyanez vonatkozik a tar fájl 
kicsomagolása után létrejövő könyvtár nevére is. 

Bár a make check parancsot nem szükséges kiadni - régebbi 
gépeken időigényes lehet —, én mégis hasznosnak tartom: 
részleteket ír ki a támogatott titkosítási algoritmusokról és 
próbaprogramok egész hadát futtatja le. Így azonnal kiderül, 
ha valami nem sikerült a GnuPG fordítása közben. Ha a próba- 
programok valamelyike hibával tér vissza, nincs értelme telepí- 
teni a programot, előbb meg kell szüntetni a hiba okát. 

Ha gondod támad a próbaprogramok futtatásakor, nézd meg az 
INSIALL és README fájlokat, esetleg megoldásokra bukkansz. 





GPG rendszergazdai jogosultsággal? 

Valószínűleg tudod, hogy a SUID (set user ID) bit használata 
általában kerülendő. A SUID bit - amelyet a chmod paranccsal 
állíthatsz be — hatására az adott program annak a felhaszná- 
lónak a jogosultságaival fog futni, akinek a tulajdonában van, 
függetlenül attól, hogy ki indította el. 

Ha például egy program nevének listázásakor (az 1s -1 
parancs segítségével) a felhasználó jogosultságainál az x 
helyett s áll, és a program tulajdonosa a rendszergazda, ez 

azt jelenti, hogyha bármikor elindítjuk a programot, az rend- 
szergazdai jogosultságokkal fog rendelkezni, vagyis ugyanazt 
megteheti, amit a rendszergazda. 

Bizonyos esetekben egyes programok ok nélkül kapják meg 

a SEILUID bitet, miközben tulajdonosuk a rendszergazda-fel- 
használó. A gpg nem ezek közé tartozik, érdemes SETUID bittel 
futtatni (SETUID-—root, mert a gpg program a rendszergazda 
tulajdona), ami csökkenti annak az esélyét, hogy egy felhasználó 
titkos kulcsot vagy jelmondatot tudjon kiolvasni a memóriából. 
Ajánlom, hogy a make instal1 után a következő parancsot 
add ki: chmod uis /usr/bin/gpag. 


GnuPG-gyorstalpaló: a digitális aláírás ellenőrzése 
Miután telepítetted a gpg-t (forrásból a fent leírtak alapján, 
vagy Linux-terjesztésed CD-lemezéről), készen állsz arra, hogy 
létrehozd a saját kulcspárodat, és elkezdd felépíteni a bizalom- 
háló rád eső részét. Mivel már kevés hely áll rendelkezésemre, 
egy olyan műveletet ismertetek, amihez nem kell saját kulcs- 
pár: kövessük végig valaki más aláírásának az ellenőrzését. 
A digitális aláírás elkészítése elterjedt módszer (immár hazánk- 
ban is elfogadott — a szerk.), segítségével megbizonyosodha- 
tunk róla, hogy a felhasználó által letöltött Programcsomag 
megegyezik a fejlesztő által feltöltöttel. 
A különálló aláírást (a PGP-aláírás lehet külön fájlban vagy 
csatolt fájlként ahhoz kapcsolva, amit aláírtak) a gogv prog- 
rammal ellenőrizzük. Ha a programnak megadunk egy aláírást, 
de nem rendelkezünk az aláíró nyilvános kulcsával, a gogv 
hibát jelez. Listánkon egy ilyen próbálkozást láthatunk, nézzük 
meg közelebbről! Három parancsot adtunk ki: 
gpgv gpa-0.4.1.tar.gz.sig 
gpg --keyserver pgp.mit.edu NM 
--recv-keys 621CCO13 
gpgv --keyring pubring.gpg N 
gpa-0.4.1.tar.gz.sig 
A gpgv (amely az aláírások ellenőrzésére szolgáló egyszerűsí- 
tett gpg) első futtatásánál csupán az ellenőrzendő aláírást ad- 
tam meg. Ha meglett volna a megfelelő nyilvános kulcs a gpgv 
nyilvános kulcscsomóján ($HOME/.gnupg/trustedkeys.gpg), ez a 
parancs lefutott volna, de mivel nem birtokoltam a szükséges 
kulcsot, hibával tért vissza. 
A második alkalommal a gpg-t a --recv-keys kapcsolónak 
megadott kulcsazonosítóval futtattam. Ezt az azonosítót az 
előzőleg futott gogv kimenetéből emeltem át. Meg kellett még 
adnom, hogy a gpg a pgp.mit.edu kulcskiszolgálón keresse 
a meghatározott kulcsot. A program megtalálta a kulcsot és 
sikeresen visszatért. 
A harmadik parancsnál a --keyring kapcsolóval megadtam 
a gpgv-nek, hogy a nyilvános kulcsot az alapértelmezett 
kulcscsomón keresse a $(HOME/.gnupg/pubring.gpg fájlban. 
A parancs ezúttal megfelelő volt. 
Egy valami maradt ki a fenti példából: természetesen a letöltött 
kulcs valódiságának ellenőrzése, azaz meg kell győződni róla, 
hogy a kulcs tényleg Werner Koch saját kulcsa. A feladat nem 
nehéz - körülbelül húsz másodpercembe került. Rákerestem 
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a 5 http:/www.google.com-on a 621CCO13 werner koch 
karakterláncra. 

A találatok között számos levelezési listára elküldött levél volt, 
amelyekben Werner aláírása — és benne a kulcs azonosítója — 
szerepelt. Ha valakinek sikerülne is arra a webkiszolgálóra 
betörni, ahonnan a programcsomagot letöltöttem, és elhelyez- 
ne ott egy trójai falovat vagy vírust tartalmazó fájlt, továbbá 
azt egy hamis kulccsal aláírná, a hamis nyilvános kulcsot pedig 
közzétenné a pgp.mit.edu kiszolgálón, nem érne el vele sokat, 
hiszen egy gyors webes kereséssel könnyen fény derülhet 

a csalásra. Kétlem, hogy akár a legelszántabb csaló is képes 
legyen arra, hogy a nyilvános kulcs minden közzétett példá- 
nyát (weben, levelezőlista-archívumokban) felkutassa és meg- 
változtassa. Láthatjuk, hogy a bizalomháló működhet, feltéve, 
hogy óvatosak vagyunk, és alkalmanként szánunk egy kis időt 
az ellenőrzésre is. 

E hónapra nincs már több helyem, de a következő részben a 
GnuPG számos további tulajdonságára is kitérek még. Remé- 
lem, sikerült felkeltenem az érdeklődést, a cikk folytatásáig 
pedig ajánlom, olvassák el az 58. oldalon található írásunkat 
A konzolos levelezés alapjai és a titkosítás címmel. 


Mick Bauer (mickCovisI.com) 

hálózati biztonsággal foglalkozó szaktanács- 
adó. 1995 óta a Linux elkötelezett híve, 
1997 óta pedig OpenBSD prófétaként 
tevékenykedik. Mick minden kérdést és 
megjegyzést szívesen fogad. 
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Konnyúű álmok 949. rész) 


Felhasználóazonosítás és a PAM 


Linux többfelhasználós rendszer, ami azt jelenti, hogy 
A egy rendszert több ember használhat - akár egyszerre 

is, úgy, hogy adataik egymástól megbízhatóan el 
vannak választva. Ez azonban több kérdést is felvet: hogyan 
különböztetjük meg egymástól a felhasználókat? Miként tudja 
egy felhasználó meggyőzően bebizonyítani, hogy ő valóban 
az, akinek mondja magát? Hogyan választjuk el egymástól 
a különböző felhasználókat? Ha a felhasználókat már meg- 
nyugtatóan azonosítani tudjuk, milyen módon érjük el, hogy 
több különböző program azonosítási eljárásai hasonlóan vagy 
egyformán hangolhatók legyenek? Miként érhető el, hogy a 
felhasználó azonosítása ne csak egy alrendszerre legyen megfe- 
lelő? Most a felvetett kérdéseknek csupán az azonosítással 
kapcsolatos oldalát vizsgáljuk meg. 


A felhasználók azonosítása 

A többfelhasználós rendszereknek lehetővé kell tenniük a fel- 
használók megkülönböztetését, hogy képesek legyenek adataik 
elválasztására. Ha a felhasználóknak nevet adunk, akkor nincs 
más dolgunk, mint meggyőződni arról, hogy valóban a megfe- 
lelő telhasználó kapcsolódott-e a számítógéphez. Ennek ellen- 
őrzésére a leggyakrabban a következő három módszert vagy 


keveréküket használják: 


e a felhasználó valamilyen tudás birtokában van 
(jelszó, személyi kód (pin), titkos kérdés-válasz párok); 

e a felhasználó fizikai azonosítóeszközt birtokol 
(hagyományos kulcs, CryptoCard, chipkártya); 

e a számítógép a felhasználót valamilyen fizikai tulajdonsága 
alapján azonosítja, ezek a biometrikus azonosítási eljárások 
(ujjlenyomat, recehártya (retina), hang, szag stb.). 


A rendszert nem lehet tökéletesen megvédeni, mivel a jelszó 
visszafejthető vagy lehallgatható, a felhasználó azonosítóeszkö- 
zét pedig el lehet rabolni, a hangját rögzíthetik, az ujját levág- 
hatják... A megkövetelt módszer vagy módszerek erősségét 
annak arányában kell eldönteni, hogy milyen típusú a védendő 
rendszer, mekkora az adat értéke, és milyen erősségű támadá- 
sokra lehet számítani. Egy otthoni rendszernél nyilván feles- 
leges az ujjlenyomattal történő azonosítás, míg egy nagy cég 
pénzügyi adatait tartalmazó gépnél több védelmi szint is meg- 
fontolandó (például CryptoCard, valamint erős jelszavak). 

Az esetek többségében a módszer ára a döntő. Ha minden 
monitorra alapkiépítésben ujjlenyomat-olvasót fognak szerelni, 
akkor az otthoni felhasználók is ezt az eljárást fogják használni. 


Kis jelszótörténelem 

A jelszavas azonosítás az egyik legegyszerűbb és legolcsóbb 
biztonsági megoldás. Alkalmazásához nincs szükség semmi- 
lyen kiegészítőre, nem igényel hosszú betanulást és magunk- 
kal cipelni sem kell. A Linux-rendszerek alapbeállításban jel- 
szóra épülő azonosítást alkalmaznak, ezért ezt részletesebben 
kifejtjük. 

A korai Unix-rendszereken kutatócsoportok dolgoztak. Az azo- 
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nosítás szükségtelen volt, hiszen nélküle a munka kényel- 
mesebben folyt, ráadásul akkoriban a rendszert és az adatokat 
nem kellett még senkitől sem félteniük. Amikor azonban a 
rendszerek kezdtek elterjedni és hálózatba kapcsolták őket, 

a fejlesztők hamar rájöttek, hogy valamilyen módon azonosí- 
tani kell a felhasználókat és a jogosultságaikat. A jelszavakat 
először nem titkosítva tárolták, csupán bizonyos feltételekhez 
kötötték a jelszóállomány hozzáférési jogosultságait. Néha 
azonban programhibából adódóan a felhasználók hozzáférhet- 
nek egymás jelszavaihoz, ebből következően adataihoz és 
erőforrásaihoz is. Ezért a rendszer tervezői úgy döntöttek, 
hogy biztonságosabb lesz, ha a jelszavakat a felhasználók más 
adataival együtt tárolják ugyan, de titkosítva. 


A fletc/ipasswd állomány 

Kezdetben volt a /etc/ passwd állomány, ami a felhasználók 
adatait tartalmazta, beleértve kódolt jelszavukat is. Az állo- 
mány a rendszergazda tulajdonában állt, közvetlenül csak 

ő tudta írni, mivel azonban a benne tárolt adatok nem csak 

az azonosításhoz voltak szükségesek (a legegyszerűbb 1s 
parancs is innen veszi a felhasználói azonosítóhoz tartozó 
felhasználói nevet), mindenki által olvashatóvá vált, vagyis 
mindenki hozzáférhetett a felhasználók kódolt jelszavához. 
Meg kell közelebbről ismernünk az azonosítás folyamatát, 
hogy a felmerült nehézségek mibenlétére rávilágíthassunk. 

A jelszavak kódolására olyan algoritmus használatos, amely 
egyirányú (úgynevezett hash-függvény), továbbá a jelszó a 
kódolt alakból nem fejthető vissza (jelenleg nincs rá módszer). 
Hogyan ellenőr$zi a jelszót a rendszer? Nagyon egyszerűen: 

a felhasználó beírja a jelszavát, a rendszer kódolja, és ha a 
kódolt alak megegyezik a passwd-állományban tárolttal, akkor 
a helyes jelszót adták meg. Ebből következik, hogy a jelszavak 
közvetlenül nem szerezhetők meg. Ha azonban ismerjük egy 
felhasználó kódolt jelszavát, próbálgatással mi is meghatároz- 
hatjuk azt a jelszót, ami az adott kódolt mintát adja vissza. 

Ez azonban nem feltétlenül egyezik meg az eredeti jelszóval 

— a jelenséget hash-ütközésnek hívják (1. ábra). Amennyiben 
az eredeti jelszó valamely szótári szó képzett alakja, netán a 
felhasználó személyéből valamilyen módon kikövetkeztethető 
(személyi szám, barátnő neve, miegymás), akkor a támadás 
viszonylag gyorsan kivitelezhető. Elég nagy számítási teljesít- 
ménnyel tetszőleges jelszó megtalálható, mivel a hash-függ- 
vény értékkészlete véges (1. ábra). A könnyebb megjegyez- 
hetőséghez a felhasználók szívesebben választanak olyan 
jelszavakat, amelyek valamely szótári szóból képezhetők. 

A fent vázolt okokból a korai Unix-kalózok minden elérhető 
felhasználónak megszerezhették a kódolt jelszavát és célprog- 
ramokkal [1.] igyekeztek megtalálni az eredetiket. Az emberek 
rossz szokásai miatt olyan szótárak álltak össze, amelyek 
segítségével egy komolyabb felhasználószámú rendszeren 
másodpercek alatt felhasználók tucatjainak a jelszavát vissza 
lehetett fejteni. Így a kalózok mások nevében nyomtattak, a 
processzoridőt és az egyéb erőforrásokat egyaránt használták. 





Jelenleg a /etce passwd állományban a legtöbb rendszeren már 
nem tárolnak titkosított jelszavakat, de a Linux-telepítőkészle- 
tek egy része mind a mai napig rákérdez, akarjuk-e a shadow- 
támogatást a rendszerünkre telepíteni. Javaslom, mindig 
válasszuk ki, és most nézzük meg, mit is jelent mindez. 


A fetcishadow állomány 

A fent vázolt gondok egy része megoldható lenne, ha az azo- 
nosításhoz használt adatokat egy olyan állományban tárolnánk, 
amelyet kizárólag a rendszergazda tud írni és csupán egy 
külön csoport tudná olvasni. Ez az állomány lett a /etc/shadow, 
ami az olyan érzékeny adatokat tartalmazza, melyek az egyéb 
felhasználást nem érintik (titkos jelszó, mikor kell a jelszót 
kötelezően lecserélni, mikor jár le a hozzáférés érvényessége 
és így tovább [2.]). Ezzel a helyi felhasználókat védjük meg 
jelszavaik ellopásától. Bár egy felhasználó jelszava más úton 


T. táblázat A jelszavak betűszáma 


KT LTL EN 


tása a korabeli gépeken akár egy másodpercig is eltartott, 

az algoritmus ebben a formában tökéletesen megfelelt a kor 

igényeinek. 

A számítógépek rohamos fejlődésével azonban hamarosan túl 

egyszerűvé vált a jelszavak megkeresése, valamint újabb gond 

is akadt: ugyanazt a jelszót használva egy másik rendszeren 

is ugyanaz a titkosított forma állt elő (1. ábra). Morris és 

Thompson a crypt algoritmusát az úgynevezett salt hozzáadá- 

sával továbbfjlesztették. A salt egy 12 bites szám, amely a 

DES-algoritmus végeredményét módosítja. Ezt a kódoláskor 

a rendszer véletlenszerűen választja ki, így a jelszó visszafej- 

tésének ideje lényegesen növekszik. lovábbi előnye, hogy 

ugyanazt a jelszót két különböző rendszeren beállítva a titko- 

sított alakok eltérőek, így nem nyilvánvaló az azonosság. 

Ez természetesen a rendszergazda által átmásolt azonosítókra 

nem igaz, ilyen esetben akár ugyanazt a jelszót is érdemes újra 
beállítani. A jelszó hosszának behatároltsága miatt 
bizonyos rendszereken (HP-UX, Ultrix, BSD) olyan 
algoritmusokat (crypt16(), bigcrypt()) vezettek be, 
amelyek 16 vagy akár több karakteres jelszavak 
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osztály leírás karakterszám használatára is alkalmasak. 
10 fg nágiGkEtst 
2 fiz BÉtik E Az MD5 és más lehetőségek 
SAS s S s - - A később bevezetett algoritmusok jóval hosszabbak, 
3 angol kisbetűk és számok 33 ezáltal nehezebben megtalálható jelszavak megadását 
4 angol kis- és nagybetűk 46 teszi lehetővé. Ezek közül a Linux szempontjából 
ő angol kis- és nagybetűk, számjegyek 56 a legnagyobb jelentőséggel a MD5 algoritmus bír. 
6 nyomtatható karakterek 95 A jelszó HásSZÁt az algoritmus MEN SOPÁLAZZ A; csak 
a hash értéke mutatja, hogy nagyjából mekkora a 
7 ASCI-karakterek 128 


is megszerezhető (szociális módszerek, login brute force stb.), 
ezekkel a módszerekkel terjedelmi okokból nem foglalkozunk. 
Gyakori gond, hogy a jelszóállományt bizonyos SETUID-prog- 
ramok felolvassák, és ha rá tudjuk venni őket egy , jóízű" core 
dumpra (a program szabálytalan leállása után a memóriában 
maradt szemetet a rendszer egy core nevű fájlba írja ki) abból 
kiolvashatóvá válik a kódolt jelszó. Amennyiben odafigyelünk 
arra, hogy a rendszeren milyen rendszergazdai jogokkal futó 
programok találhatók, valamint Linux-változatunk figyeli e 
programok a hibamentességét, ez a hiba nem fordul elő. 


Jelszókódoló algoritmusok 

A jelszavak kódolására olyan algoritmusokat használtak, 
amelyek jelenlegi tudásunk szerint egyirányúak. Ez azt jelenti, 
hogy a kódolt jelszóból a próbálgatáson kívül semmilyen 
módon nem állítható vissza az eredeti. Vajon milyen algorit- 
musokat használnak egy korszerű Linux-rendszerben? 


A crypt() és a bigerypt() 

Az első és még ma is sok helyen alkalmazott jelszókódoló 
algoritmus a crypt(), amely Robert Morris és Ken Thompson 
munkáját dicséri, és a DES-algoritmuson alapul. Működése 
röviden: az alap DES-algoritmus a nyílt szöveg 64 bites részei- 
nek a titkosítására 56 bites kulcsot használ. A crypt() algoritmus 
a felhasználó jelszavát titkosító kulcsként használva titkosít 

64 nulla bitet, majd annak eredményét és így tovább, mindezt 
huszonöt alkalommal. A fenti adatokból látszik, hogy a jelszó 
hossza behatárolt, a használható jelszóhossz pedig nyolc 
karakter (1. táblázat). A végeredményt 11 nyomtatható karak- 
ter formájában adja vissza. Ez kerül a passwd- vagy a shadow- 
állományba. Mivel a DES-algoritmus huszonötszöri végrehaj- 
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lehetséges különböző eredményt adó jelszavak száma 

(1. táblázat). Az MD5 algoritmust [3.] alkalmazó jel- 

szókódolás is salt-ot használ, ami alapesetben 64 bit, 
így jóval számításigényesebbé teszi a jelszókeresést. Az algo- 
ritmus műveletigénye azonban sajnos nem hangolható, ezért 
más rendszereken további algoritmusokat fejlesztettek. Az 
OpenBSD már támogatja a bcrypt nevű algoritmust, amelynek 
az erőforrásigénye a cost nevű változó segítségével hangol- 
ható. Ezzel elérhető, hogy a rendszergazdák jelszavainak 
megkeresésére nagyságrendekkel nagyobb erőforrást kelljen 
a támadóknak fordítaniuk. 


A jó jelszó titka 

Milyen a jó jelszó? Az erős jelszavak előállítása során figye- 
lembe kell venni néhány fontos alapelvet [4.] Ezek nyomán 
az alábbi jelszavak használatát célszerű elkerülni: 


e ha a jelszó valamilyen módon kapcsolatba hozható a 
felhasználóval (saját, ismerősök vagy házi kedvencek neve, 
jellemző időpontok, bármely adat, amely a GECOS mezőben 
megtalálható -— telefonszámok, személyi azonosító és 
személyi igazolvány száma, cím, iskolák); 

e ha magyar vagy nagyobb világnyelvekben ismert szótári 
szó bármely formában (akár visszafelé is); 

e ha bármely helyi felhasználó neve akármilyen formában 
(akár többszörözve is); 

e ha helységnév; 

e ha a billentyűzeten jól ismert minták (gwerty, g1w2e3, 
gweasd, asdfjkl stb.); 

e ha bármely korábban felsorolt forma akár egyetlen szám- 
jeggyel kiegészítve (akár visszafelé is). 

A jelszó előállításánál a következőket ésszerű betartani: 

e legkevesebb nyolc karakter hosszú legyen; 
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jelszóhossztosztály 
4 karakter 
6 karakter 
3 karakter 
10 karakter 
12 karakter 
14 karakter 


2. táblázat A választható jelszavak lehetséges száma 


16 karakter 


e tartalmazzon angol kis- és nagybetűket; 

e — tartalmazzon számokat; 

e lehetőség szerint egyéb jeleket is magában foglaljon 
(2 O8- €119/—0); 

e a legjobb esetben vezérlőkaraktereket is tartalmazzon 
(ezekkel azonban vigyázni kell, mert nem biztos, hogy 
minden terminál ugyanúgy értelmezi őket); 

e legyen könnyen megjegyezhető; 

e legyen könnyen begépelhető (gyakoroljuk be!). 


Hogyan állíthatunk elő erős, könnyen megjegyezhető jelszava- 
kat? Felhasználható a számos jelszógyártó programok valame- 

lyike (makepassword, pwgen), de az előállított jelszavak ritkán 
jegyezhetők meg könnyedén. Példa egy előállított erős jelszóra: 


atyaOotensor[18:20]1[1]S$ pwgen -s 14 1 
.Rv9T,wIlsOB €UÚ 


Jóval használhatóbb jelszavak hozhatók létre az alábbi egy- 
szerű módszerrel. Egy olyan mondatot kell kiválasztani, amely 
könnyen megjegyezhető, majd annak 
szavaiból bizonyos karakterek kiválasz- 
tásával és némi , tupírozással" nagyszerű 
jelszó nyerhető. Nézzünk rá példát! 

A következő mondatot választottam: 


1 2 3 4 5 6 7 
1e16 6.1e€21 2e24 4e26 9.4e€e27 4.4e31 5.2e€33 


Az azonosítási rendszerek gyenge pontja 

Az egyes Unix-rendszerek fejlesztői hiába dolgoztak ki közö- 
sen, kényelmesen használható megoldást, egy gondot mégsem 
tudtak orvosolni. Minden program csak az előre tervezett és 
beépített azonosítási eljárásokat támogatta. Bizonyos progra- 
mok fejlesztői arra vetemedtek, hogy az általánosan használt 
azonosítási eljárásokat sem támogatták. Mondanom sem kell, 
egy új azonosítási eljárás beépítése minden azonosítást igénylő 
programban nagyon bonyolult és kínos feladat. 


Altalános megoldás: a PAM rendszer 

A fenti feladat megoldására hozták létre a PAM-rendszert 
(Pluggable Authentication Modules). A PAM ötlete először 

a Sun fejlesztőinek a fejében született meg. Elsőként részlege- 
sen a Solaris 2.5-ös sorozatában vezették be, a teljes támogatás 
pedig a Solaris 2.6-ban alakult ki. A PAM finoman hangolható 
azonosítási rendszer, mely a korábban vázolt gondokra oly 
módon ad egységes megoldást, hogy az azonosítással kapcso- 
latos feladatokat elválasztja a programtól, így annak tudomást 
sem kell vennie róla, hogy éppen milyen azonosítási eljárás lett 


3. táblázat Jelszótörés sebessége John The Ripper segítségével 


























A gonosz farkas hosszaN üldöztE Piroskár C több salt 49740 c/s egy salt 46566 c/s 
az erdőben. P több salt 224345 c/s egy salt 189811 c/s 
Az ebből nyert jelszó -ralZsNet$zn. lesz. 

Egy másik, szintén egyszerű megoldás több 

rövid szó összeállítása valamilyen egyéb Algoritmus: BSDI DES (x725) 

karakterrel. Lássunk egy példát! Ce több salt 608 c/s egy salt 417 c/s 
Jantázta, pünaszalakat P több salt 518 6E egy salt 321 c/s 


A kapott jelszó: fantziaTopansz1-lakt! 
Mindkét megoldással az a gond, hogy az 
előállított jelszavak általában nehezen gépel- 


Algoritmus: FreeBSD MD5 





hetők, ezért gépelés közben könnyebben 
leleshetők. Az egyre finomabb megoldások 
felé vezető úton haladva sok olyan jelszó- 
előállítóval találkozhattunk [5.], amely a fenti 
kitételek lehető legtöbbjét figyelembe veszi. 


C több salt 1092 c/s egy salt 1092 c/s 
P több salt 1669 c/s egy salt 669 c/s 


Algoritmus: OpenBSD Blowfish 





Megfelelő jelszó választása esetén a kalózok ! C több salt 65 c/s egy salt 65 c/s 
a jelszó kinyeréséhez kénytelenek az összes ! p todbisál 6 6/s egy salt 116 c/s 
lehetőség végigböngészésével próbálkozni 
(brute force). 

C — Kis asztali gép, 450 MHz Pentium II processzorral 


Megjegyzés: a cikkben közölt jelszavak 
természetesen semmilyen rendszeren nem P 
használatosak, mivel nyomtatásban is 
megjelentek. 
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— Kiszolgáló osztályú gép két Coppermine 700 MHz-es processzorral 








beállítva. A Linux-rendszer saját PAM-ot használ. A Linux-PAM 
fejlesztését 1996-ban kezdték meg, legfontosabb fejlesztője 

a mai napig Andrew Morgan. Az idők folyamán a rendszer 
rengeteg fejlesztésen ment keresztül. Mi a Linux-PAM 0.72-es 
vátozatának főbb jellemzőivel ismerkedünk meg. 


A PAM lehetőségei 


A PAM olyan rugalmas azonosítási rendszert ad a rendszer- 
gazda kezébe, mellyel a felhasználókat a rendszeren futtat- 
ható bármely PAM-megfelelő program segítségével azonosít- 
hatja [7. 8.]. Az azonosítási módszer a legegyszerűbb bugyuta 
titkos kérdés-titkos válasz azonosítási módtól a legbonyolul- 
tabb recehártya- vagy ujjlenyomat-felismerésig terjedhet. 
Morgan a rendszer lehetőségeinek bemutatására az alábbi pél- 
dát hozza: ha a rendszergazda (mama) a felhasználói (gyere- 
kek) matematikai tudását szeretné tökéletesíteni, beállíthatja, 
hogy a kedvenc lövöldözős játékuk (természetesen csak ha 
PAM-megfelelő) azonosításképpen a 12 alatti számok szorzatát 
kérdezze. Ha a felhasználó tudja a választ, játszhat. Ha nem... 
Amennyiben a játék érdekes, a gyerekek egykettőre megtanul- 
ják a szorzótáblát. A PAM négy különböző szolgáltatást nyújt: 
azonosítás, felhasználói név (account), munkamenet (session) 
auth, account, session és password. Az azonosítási szol- 
gáltatás két dolgot jelent: egyrészt a PAM valamilyen eljárással 
meggyőződik a felhasználó személyéről, azaz azonosítja 
(authenticate), másrészt a PAM a felhasználót jogosultságokkal 
ruházhatja fel (authorize) (például valamilyen csoportba sorol- 
hatja be a /etc/group alapján vagy más módszerrel). A kapcso- 
latkezelés a rendszeren azonosításfüggetlen szolgáltatások 
beállítását teszi lehetővé. Jellegzetesen ilyen a kiszolgálók fel- 
használószámának korlátozása, a rendszergazda bizonyos 
helyekről (például hálózatról) való belépésének megtiltása. 

A munkamenet-kezelés szolgáltatásai olyan feladatok megvaló- 
sítását teszik lehetővé, melyeknek a felhasználó hozzáférése 
előtt vagy után kell végrehajtódniuk (naplózás, chroot stb.). 

A jelszókezelési szolgáltatás a felhasználó azonosítási zseton- 
jának módosítását teszi lehetővé. A PAM modulokból áll, 
amelyek akár több szolgáltatást is nyújthatnak. 


A PAM beállítása 


A PAM a /etc/pam.d könyvtárban lévő állományokon keresztül 
hangolható. A beállításokat korábban a /etc/pam.conf nevű állo- 
mány tartalmazta, de elavulttá vált, ezért használatát a Linux- 
rendszeren nem ajánlom (akad olyan operációs rendszer, 
amelyben csak ezt alkalmazzák). A /etc/pam.d könyvtárban lévő 
állományok neve és a beállítandó szolgáltatás neve kisbetűkkel 
(su, ssh, ftp stb.) írandó. Az állományokban minden sor (a meg- 
jegyzésektől eltekintve) egy PAM-modul valamilyen szolgál- 
tatását hívja meg. Az egyes sorok formátuma a következő: 


Imodul típusaz cZellenőrző zászló (control flag) — 
a modulelérési út cváltozó (argument) 


ahol a modul típusa egy a később megadott modul szolgálta- 
tásai közül. A megadható lehetőségek: auth, account, 
session, password. Jelentésüket korábban már részletesen 
ismertettük. Az ellenőrző zászló lehetővé teszi, hogy az adott 
sorban meghatározott feltétel szükségességét szabályozzuk. 
Értékei a következők lehetnek: 


e  reguired (kötelező): a megadott modulnak sikeresen kell 
visszatérnie, különben a modultípusban megadott szolgál- 


www.linuxvilag.hu 


tatás nem térhet vissza hibátlanul. A modul hibája addig 

nem jut el a felhasználóhoz, amíg az ugyanilyen modultí- 

pussal rendelkező sorok mindegyike ki nem értékelődik. 
reguisite (szükséges): az előzőtől csak annyiban különbözik, 
hogy a hibát a modul azonnal visszaadja az alkalmazásnak. 

e sufficient (elégséges): ha a modul sikerrel tér vissza, és a 
korábban feldolgozott modulok között nincs sikertelenül 
visszatért reguired típusú, akkor erre a szolgáltatásra nem 
hívódik meg több a később felsoroltakból. 

e  optional (tetszőleges): miként a neve is mutatja, ez a bejegy- 
zés nem életbevágóan fontos — amennyiben nem önmagá- 
ban áll, nem okoz sem elutasítást, sem biztos elfogadást. 
Ilyen esetben csak a beállításainak köszönhetően teszik be 
a szolgáltatás végrehajtásába (naplóz, valamit kiír, egyéb). 


da 8 a. 


a változók és azok beállítása pedig modulonkérnt és szolgáltatá- 
sonként egyediek. A külön nem beállított alrendszerek az other 
állományban megadottak szerint vannak azonosítva. Egy kis 
példa a máshol nem meghatározott PAM-kérések kitiltására: 


H 
t /etc/pam.d/other - default; deny access 
H 


auth reguired /usr/lib/security/pam deny. so 
accoun reguired /usr/lib/security/pam deny. so 
password reguired /usr/lib/security/pam deny.so 
session reguired /usr/lib/security/pam deny. so 


A legfontosabb PAM-egységeket és helyes használatukat követ- 
kező lapszámunkban mutatjuk be. 
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Az XML (2. rész) 





Folytatjuk gondolatfüzérünket a hordozható adatokról, vagyis a mindenki 
által könnyen használható dokumentumok készítéséről. 


orozatunk második részében befejezzük az XML- 
adatfolyamok formai és nyelvtani érvényességének 
rövid ismertetését, majd áttekintjük azokat a fonto- 





sabb módszereket, amelyek az XML formát nagyon hatékony 
és széleskörűen használható eszközzé teszik. 


A DID tulajdonságlista (attributum list) megadása 
Az eddigiekből kiderült, hogy az elemtulajdonságok az egyes 
XML-elemek jellemzésére szolgálnak, ezért a DID-re alapuló 
nyelvtani érvényességvizsgálat során ezek elemzése is fontos 
követelmény. lermészetesen nem mindegyik XML-elemnek 
van tulajdonságlistája, de ha létezik, akkor olyan DTD-beli 
nyelvtani szabályokat kell megfogalmaznunk, amelyek leírják, 
hogy az egyes elemek milyen jellemzőket tartalmazhatnak, 
illetve milyen értékeket vehetnek fel. 
A VKONYV XML-adatfolyam cVENDEG:-elemének egyetlen 
tulajdonsága a sorszám. A tulajdonságlisták megadásának 
általános formája a következő: 
ZT ATTLIST egy xml elem neve 
tulajdonsgg ndv1 
tulajdonsgg jellegei jelzi 


tulajdonsgg ndv n 
tulajdonsgg jellege n jelzi 


A c-VENDEG--elem példájánál maradva így adhatjuk meg 

a sorszam tulajdonság nyelvtanát: 

c!IATTLIST VENDEG sorszam CDATA HREOUIRED- 

A fenti sor mondja meg az elemző program számára, hogy 

a VENDEG elemnek létezik egy sorszam nevű tulajdonsága, 


amely CDAIA-jellegű és az elem minden előfordulásánál 

kötelezően szerepelnie kell. 

Az egyes tulajdonságok jellege a következők valamelyike lehet: 

e  CDATA- ezzel csak annyit állítunk, hogy a tulajdonság egy 
tetszőleges karaktersorozat 

e — 1D- az ID-tulajdonság értékének egy névnek kell lennie, 

e  IDREF vagy IDREFS, 

é ENTITY vagy ENTITIES, 

e  NMTOKEN vagy NMTOKENS, 

e a névlista egyszetű felsorolástípus, például alma, körte, szilva. 

Jelzőből a következő négy fajta ismeretes: 

e HREOUIRED: az elem minden dokumentumbeli előfordu- 
lásánál egyértelműen meg kell adni a tulajdonság értékét. 

e . HIMPLIED: a tulajdonság megadása nem kötelező és nincs 
alapértelmezett értéke. Ha nincs érték megadva, az XML- 
feldolgozónak anélkül kell továbbhaladnia. 

e — Egyetlen érték: ekkor ez az egyetlen alapértelmezett értéke 
lesz a tulajdonságnak, például: "3,14" 

e  HFIXED , érték": ilyenkor nem kötelező a tulajdonság meg- 
adása, de ha megtesszük, akkor ennek az értéknek kell lennie. 


Egyedbevezetés (Entity declaration) a DTD-ben 

Az XML-adatfolyam jól formált felépítését ismertető szakasz- 
ban már szó esett az egyedekről — most azt is leírjuk, hogyan 
és hol hozhatjuk létre őket. 

A DID-leírásban a következő három fajta egyed lehetséges: 
belső, külső és paraméteregyedek. 

A belső egyedek makróhelyettesítő módszert valósítanak meg. Az 
c!ENTITY MOL "Magyar Olaj s GEzipari Rt.": 
sor egy MOL nevű egyedet hoz létre, amelyet az XML-szöveg- 
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ben "MOL; " alakban hívhatunk meg, és ennek hatására 
történik meg a szöveghelyettesítés. 

A külső egyedek lehetővé teszik, hogy az XML-dokumentum- 
ból egy másik fájl tartalmára hivatkozzunk. Így szöveges és 
futtatható adatot is tartalmazhatnak. Ha a külső fájl szöveges 
adatot tartalmaz, az az eredeti dokumentumban a hivatkozási 
pont helyére illesztődik, és úgy kerül feldolgozásra, mintha 

a hivatkozó dokumentum része lenne. A futtatható adat érte- 
lemszerűen nem kerül elemzésre. 

Paraméteregyedek csak a DID-leírásban fordulhatnak elő. 





A paraméteregyedek megadása onnan ismerhető fel, hogy a 
nevük előtt a , 5" (százalékjel) található. A paraméteregyed- 
hivatkozások a DID-ben minden hivatkozás során feloldásra 
kerülnek, így a helyettesített szöveg is része a megadásnak. 
Nézzünk egy példát - eredetileg ezt írnánk: 

c ! ELEMENT KONYV (ELOLAP, LAPOKt, ZAROLAP): 

c ! ELEMENT FUZET (ELOLAP, LAPOKti, ZAROLAP): 

A hasonlóság kihasználásával hozzunk létre egy TARTALOM 
nevű paraméteregyedet: 

c!ENTITY STARTALOM "ELOLAP, LAPOKt, ZAROLAP": 
Az így kapott egyeddel a KONYV és FUZET elemek nyelvtani 
szabályai egységesebben fogalmazhatók meg: 

c ! ELEMENT KONYV (S5TARTALOM; ) : 

c! ELEMENT FUZET (S5TARTALOM; ) : 


A VKONYV XML-adatfolyam nyelvtani szabályai 

A DID-vel való ismerkedésünk befejezéseként alkossuk meg 
a VKONYV XML-adatfolyam nyelvtani szabályait (1. lista), 
amit a vkonyv.dtd fájlban tárolhatunk. 


Az XML-adatfolyam megjelenítése 

Az XML-fájlok semmilyen adatot nem tartalmaznak arra nézve, 
hogyan kell őket megjeleníteni. Azt láttuk, hogy az IE5 vagy a 
Netscape 6 alaphelyzetben faformában jeleníti meg az XML-lei- 
rásokat, kihasználva, hogy egy-egy fával lehet jellemezni őket. 
Az XML-dokumentumok megjelenítésére jelenleg két szabvá- 
nyos megoldás létezik: 

e a CSS (Cascade Stylesheet) és 

e az XSL (Extensible Stylesheet Language). 


A CSS 

A CSS részletes leírása a W3C webhelyről tölthető le (körülbe- 
lül 350 oldal), itt csak a használatát mutatjuk be. A CSS-leírá- 
sok jellemzően ".css fájlokban találhatók. Legyen adott egy 
vkonyv.css látványtervleírásunk. Ekkor az első változatú 
VKONYV XML-karakterfolyam megjelenítésére a CSS haszná- 
latát a 2. listán látható utasítással írhatjuk elő a megjelenítő 
alkalmazás számára. A szemléletesség kedvéért egy nagyon 
egyszerű CSS-t (lásd 3. lista) készítettem, amelyet a vkonyv.css 
fájlban tároltam. 

A vkonyv.xml fájlba beszúrt vkonyvicss stíluslap-hivatkozás 
eredményeként az ÍEB5 az XML-adatfolyamunkat az alapértel- 
mezett fa helyett szintenként jeleníti meg. Érdekességképpen: 
ezt a formát a szabvány azért nevezi cascade-nak, mert a 
megjelenítő alkalmazás a megjelenítési beállítások különféle 
szintjeit egymás után vizsgálja meg. (Ezek a következő szintek: 
a böngésző alapértelmezései, egy külső stíluslap meghatáro- 
zásai, a cstyles . . . c/style: tag által helyileg megadott 
lehetőség; majd a közvetlen stílusjegyek: cB:, cFONT-). 


Az XSL 


Az XSL több, mint egyszerű stíluslap-meghatározó nyelv, 
inkább olyan szövegfeldolgozónak tekinthető, mint a Perl vagy 
az AWK nyelvek. A feldolgozás eredmény-karaktersorozata 
természetesen egy HIML-dokumentum is lehet, amit a bön- 
gészők meg tudnak jeleníteni. 

Az XSL két önálló nyelvi részből áll: az átalakító nyelvből 

(XSL Iransformation) és a formázó nyelvből (XSL Formatting 
Objects, XSL-FO). 

Az Apache Software Foundation több projektje is foglalkozik 
olyan ingyenes, a GNU/GPL felhasználási szerződésének hatálya 
alá eső és a Java nyelvre épülő rendszerek előállításával, ame- 
lyek XML-dokumentumok XSL -alapú megjelenítésével foglal- 
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5. lista 
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koznak. Ezen programok legfontosabb képviselői a következők: 

e Cocoon — XML-alapú webes kiadványkészítő csomag, 

e — Xalan, mely az XSLI nyelvet képes értelmezni és futtatni, 

e . FOP (Format Objects Processor) — XSL formázóobjektumo- 
kat valósít meg (ezeket elsősorban a nem szövegalapú 
eredménydokumentumoknál használjuk). 

Az XSL átalakító nyelv elemeivel olyan szabályokat határoz- 

hatunk meg, amelyek segítségével egy XML-dokumentumból 

egy másik dokumentumot, illetve általánosabban fogalmazva 
bármilyen bájtsorozatot (html-, pdf-, rtf-, ps-dokumentumo- 
kat) hozhatunk létre. Ennek következtében a létrehozott do- 
kumentum nem szükségszerűen lesz XML-megfelelő. Az XSL 

Formatting Objects (XSL-FO) az XSL-ajánlás része. Ez a CSS- 

hez hasonlóan meghatározza az XML-dokumentumok kiné- 

zetének leírási lehetőségeit. A módszer a különböző tipográ- 
fiai, nyomdai kiadványoknál megszokott oldal- és szövegfor- 
mázási elemek (fejléc, lábléc, tartalomjegyzék stb.) szabályai- 
nak leírásához is eszközöket szolgáltat. A szemléletesség 
érdekében elkészítettük a vkonyv1.xs! fájlleírását, amelyet 

a 4. (20. CD Magazin/XML) és 5. listán látható módon - a CSS- 

hez hasonlóan - építhetünk be egy XML-dokumentumba. 

Az ábra mutatja 

a VKAONYV XML 

adatfolyam kiné- 

zetét akkor, ami- 
kor a vkonyvl.xsl 
stíluslapot hasz- 
náltuk. Észreve- 
hető, hogy ez 

a módszer a meg- 

jelenítendő adatok körét is könnyen kezelni tudja (itt most csak 

a Név és az E-mail lett megjelenítve). Az XSL-lapok az egyes 

elemek megjelenítéséhez a mintaillesztés módszerét használ- 

ják. A tagnevek "xs1 : "-tal kezdődnek, utalva rá, hogy itt 
olyan XML-elemek találhatók, amelyeket az XSL-alkalmazás 
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7. lista Egy SAX-elemző és -feldolgozó 


Va 

import java.net.§; 

doeet org.xmliásósóde 

import oracle.xml.parser.v2." 
Ma 

Va 

V7/ Az oszét FESzErmazotegjaaz 


// alaportelmezett 
// SAX-esemgnyeket kezeli osztElynak 


JA 
public class TVendegLlistaSAX 


extends HandlerBase 
( 
púbTleZssat Te ét S VvendeGdents c so 
// Itt szEmoljuk a vendőgeket 


// Ez egy esemönykezeli eljErEs, amely 
// az elemre löpGskor mindig  nmísk dien 
// megh v dik 


public void startElement( String name, 
AttribiteList attrlist ) 


if ( name.eguals ("VENDEG") ) 


( 


vendeg cCntrt; 
szEmoljuk a "vendőgeket 


] 


) // end startElement 


puGLTE static rvoddmadi (Se taxa—g [1 


1 


args) 


tt: 1 arg. lengetem 1-1) 


( 


system. out. printin 


keretében akarunk használni. Ez a hivatkozási forma egy 
XML-névtér (namespace) szabványra épül, melynek célja, 
hogy az egyes XML-alkalmazások tagjai külön-külön névtér- 
ben legyenek (hasonlóan a C-t - névtereihez). Ez esetben 

az "xs1:"-ben az "xs1" szó a névtér neve. 

Röviden nézzük át, hogyan határozza meg a megjelenést a 
vkonyv1.xsl fájl tartalma. A fájl első sora arra utal, hogy XML- 
adatfolyam fog következni. A második sor az "xs1" névteret 
vezeti be. A 3-7 sor azt mondja, hogy az eredmény-karakterso- 
rozatba az egyes elemek megjelenítése előtt írjuk ki a 
"chtml:cbodyzcHI:VEND GK NYVc/H1:" füzért, majd 

a mintaleírásokat (apply-templates) alkalmazva kezdjük 
el feldolgozni az XML-fa egyes elemeit. Az elemfeldolgozások 
után a befejező lépés, hogy a készítendő HIML-dokumentu- 
mot is befejezzük, azaz kiírjuk a "-/body:c/html:" karak- 
terfüzért. A következő sablonszakaszok arról rendelkeznek, 
hogy mi a teendője a fa bejárása során, illetve akkor, amikor 
adott XML-elemnél tart a feldolgozás. A cxs1 : template 
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( "Hasznkglat : 


] 


// Az esemgÖnykezeli osztEly 

// lötrehozgsa 

TVendegLlistaSAX esemenykezelo - new 
TVendegLlistaSAX ( ) ; 


java "tvendegővts ea Sze sem sse zta elte nék 


// Egy SAX parser objektum 
// lötrehozgsa 
SAXParser parser - new SAXParsetr() ; 
// Az esemÖnykezeli bejegyzőse a 
// most 1l9gtrej tt parser objektumnEl 
parser . setDocumentHandler 

( esemenykezelo ) ; 


// Kezdj k az elemzőöst, ek zben minden 
// cj VENDEG elemre lgpgskor  nmísk daien 
// megh v dik a startElement tagf ggvgny, 
// azaz szEmoljuk a vendőgeket 

(osi 


parser.parse( UrlFromFXjl 
5 . createURL (args [0] ) ) ; 


] 


Gas ca 


( 


(Exception) 


System.out.println 
( "HIBA az elemzős sorgn!!") ; 


//--- Befejezős 1 ki rjuk az 

// eredmönyt a konzolra 

System.out.println("Vendőgek szkEma:" 
" NNEEGÉGÍvendegdene Fe toSeede (1) a 


) // end main 


) // end TVendegListaSAX class 


match- 

"VKONYV/ VENDEG/NEV" 5 sorban a "VKONYV/VENDEG/NEV" 
kifejezést XPathnak hívjuk. Az XSL-vezérlő működését jobban 
átgondolva világossá válik, hogy az "apply-templates" 
kulcsszóval egy rekurzív meghatározást (definíciót) tudunk a 
feldolgozásra megadni. Az cxs1:value-of select-"."/: 
mindig a pillanatnyi faelem (node) értékét adja vissza. 

Az IE5 azért tudja megjeleníteni XSL-stíluslappal ellátott XML- 
fájlunkat, mert ismeri az XSL átalakító nyelvet. Érdekességkép- 
pen megemlítjük, hogy az Apache Xalan használatával közvet- 
lenül is előállíthatunk egy (XML, XSL) pár által meghatározott 
eredményfájlt. Nézzük meg a Xalan közvetlen használatát 

a fenti példára! 

//A Xalan hasznXglata (Java-alkalmazzs, 
//a Process-osztEly ind t) 

java org.apache.xalan.xslt.Process -IN 
vkonyvi.xml -XSL vkonyv1i.xsil -OUT e.html 
A parancs végrehajtása után egy e.html eredményfájl kelet- 


melyet 





kezik, amely a megadott (XML, XSL) pár alapján készült el. 
Ez a folyamat azért fontos, mert így a HIML-fájlok dinamikus 


sét 


előállítása kiszolgálóoldalon történhet. 


Az XML-adatfolyam elemzése (Parse) 

Az XML-dokumentumokhoz megadott nyelvtanok egyrészt 
egy új dokumentum létrehozásakor, másrészt egy létező 
dokumentum érvényességének ellenőrzéséhez szükségesek. 
Az XML-dokumentumok elemzésére három szabványos API 
terjedt el (a harmadik csak Javából használható): 

e . DOM-alapú (Document Object Modell alapú API) elemzők, 
e  SAX-alapú (Simple API for XML) elemzők, 

e  JAPX - Java API for XML Parsing. 

A DOM felépíti az XML-adatfolyamnak megfelelő objektumok- 
ból álló fát, melynek elemeit ezután közvetlenül el lehet érni. 

Ez azt jelenti, hogy a memóriában létrejött objektumok tagfügg- 
vényei és adattagjai elérhetők. A DOM fogalma ismerős lehet 
azok számára, akik a böngészőkben már írtak JavaScript, Java 
vagy Visual Basic Script programot, hiszen az ott használt 
Window, Document, Link, Form objektumok szintén egy DOM- 
fa alkotóelemei. Ez fa a dokumentum betöltődése során épül fel. 
A SAX nem épít DOM-szerkezetet, ugyanis itt az elemzés során 
mindig csak a pillanatnyi elemet látjuk. A SAX emiatt az XML- 
elemek közvetlen elérését nem teszi lehetővé, csak sorosan 
olvassa fel őket. Ez a módszer viszont biztosít egy másik doku- 
mentumelemzési és feldolgozási lehetőséget, ugyanis az XML- 
adatfolyam elemzése közben különféle események jönnek 
létre, amelyekre eseménykezelő függvényeket írhatunk. 

A DOM és SAX API-k megadása a szabványos IDL nyelven van 
megfogalmazva, ezért azokat C-t, Java, Pascal nyelveken kell 
megvalósítani. Az IBM, Oracle, Sun, Apache rendelkeznek 
Javában megvalósított változatokkal. Az Apache XML-elemzője 
az ,Xerces" , amelyet mindenkinek a figyelmébe ajánlunk. 

A példákat most az , Oracle XML Developers Kit for Java" 
csomag használatával készítettük el, amely a 

2 http:/www.otn.oracle.com címről tölthető le (itt C/C-k-k 
csomagok is találhatók). 


Egy DOM-elemző működése 

Egy DOM-elemző a VKONYV XML adatfolyamból hozzátar- 
tozó XML -ta felépítésének megfelelő szerkezetet épít fel 

a memóriában. 

A Java oldaláról vizsgálva ez azt jelenti, hogy XMLElement, 
XMLAttr, AXMLNode típusú osztályok objektumai vesznek részt 
a DOM-ta felépítésében. Ahelyett a felépített DOM-fa elemei 
XML-elemek, tulajdonságokat és adatokat megvalósító 
objektumok. Magát az XML-dokumentumot egy XMLDocu- 
ment osztálybeli objektum képviseli. 

A szemléletesség érdekében tekintsünk egy egyszerű Java 
programot (6. lista, lásd 20. CD Magazir/XML ), ami elemzi a 
VKONYV XML-adatfolyamot, illetve feldolgozási tevékenység 
gyanánt a Java konzolon egymás alatt megjeleníti a vendégek 
neveit. A programban megjegyzések magyarázzák el a feldol- 
gozó algoritmus működését. 

A java TVendegListaDOM vkonyv . xm1 parancsra a prog- 
ram ezt jeleníti meg a konzolon: 

Nyiri Imre 

Koller J zsef 


Egy SAX-elemző működése 

A SAX-elemzők sorosan végigolvassák a bemenő XML-adat- 
folyamot, miközben különféle eseményeket hoznak létre. 
Az elemző, feldolgozó alkalmazások írása során a fő feladat 
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a megfelelő eseménykezelő eljárások megírása és bejegyzése. 
A könnyebb érthetőség érdekében írjunk olyan Java SAX-elem- 
zőt (7. lista), ami a konzolra kiírja, hogy hány vendég van 
leírva az XML -fájlban. 

A java TVendegLlistaSAX vkonyv . xm1 parancsra a prog- 
ram a konzolon a következőt jeleníti: 

A vendőgek szEma: 2 

A DOM és a SAX API az irodalomjegyzékben megadott összes 
webhelyről letölthető, tanulmányozásra ajánljuk őket. 


További XML-mótdszerek röviden 
Az XLL protokoll 
A XLink és az XPointer feladata felváltani a HIML-dokumen- 
tumokból megismert egyszerű dokumentum-összekapcsoló 
és -hivatkozó (link) szolgáltatásokat. Az XLL-protokoll jóval 
összetettebb dolgokra képes, mint HIML-beli testvére: 
e — Közvetett hivatkozási lehetőség. Ez azt jelenti, hogy egy 
hivatkozás egy másik hivatkozásra hivatkozva érheti el 
a céldokumentumot. Ezzel a módszerrel valósítható meg 
a különféle telefonkönyvek könnyű létrehozása. 
e . Egy kapcsolat több dokumentumra is mutathat. 
e Az XLink különböző források címzését teszi lehetővé 
(xml, html, pdf). 
Az XLL lényeges része az XPointer, amely az XML-dokumen- 
tumok egy-egy részét címezi meg. Ennek során ismét felhasz- 
nálja az XSL-nél már említett XPath nyelvet. Az XLL-protokoll 
azonban még fejlesztés alatt áll. 


Az XSchema formai követelményeket leíró nyelv 

A schema fogalom az adatbázis-kezelő rendszerek fogalom- 
tárából érkezett az AXML-módszerek világába, ahol az egyes 
adatelemek leírása sokkal szabatosabb, azaz az adattípus- 
fogalomnak megfelelő pontosságú. A cél a DID nyelvnek egy 
olyan nyelvre történő cseréje, amelyben a nyelvtani szabályok 
sokkal többet árulnak el az egyes adatelemekről, mint az egyes 
adatokra kijelentett (HPCDATA) állítás. Más módszereknél 
már megszokhattuk az integer, double, string, boolean 
adattípusok használatát, ezt az XML-nél is megtartjuk. 

A DID felépítése nem XML-megfelelő, ellentétben az XSchema 
XML-alapú szerkezetével, ami további érv az XSchema 
használata mellett. 

Mindenki saját XML-alapú schema nyelvet határozhat meg, 

és ha ellenőrzőt is készít hozzá, máris használatba lehet venni. 
Az XSchema nyelv szintén fejlesztési szakaszban van. 


XML-RPC 
Ez a módszer a távoli eljáráshívást az XML eszközeinek 
felhasználásával valósítja meg. 


Nyíri Imre 

(inyirromol.hu) Jelenleg a MOL Rt.-nél 
dolgozik. Informatikai vállalkozásában 

az Internet, a Linux, valamint a Java prog- 
ramozás gyakorlati hasznosításával fog- 
lalkozik, örök szerelme a C-3--t maradt. 
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A Samba mint PDC 


A nyáron egy főként Windows NT-re támaszkodó cégnél vállaltam munkát. 
Szerencsére a rendszergazda hajlott az újdonságokra, így lehetőségem nyílt a Linuxot 
kiszolgálóként egy windowsos hálózatban kipróbálni. 


z új linuxos számítógépet két feladat ellátására ter- 
AA veztük: tartománykiszolgálóként kell üzemeljen, 
legyenek bejelentkezési parancsfájlok, valamint fájl- 
és CD-kiszolgálóként is működjön. 
A rendszergazda kívánságára a SuSE Linux-változatot használ- 
tuk. Ez a rendszer mind a kezdő rendszergazdák, mind a hala- 
dóbb felhasználók igényeit megpróbálja kielégíteni. lermé- 
szetesen a leírtak más rendszerekre is könnyen átültethetők, 
bizonyos esetekben csupán a fájlok helyei változnak. Mivel 
a későbbiekben az egészet Debianon is kipróbáltam, minden 
lépésnél a parancsok debianos változatát is leírom. 


A Samba 


A Samba fájl- és nyomtatókiszolgáló SMB protokollt használó 
rendszerekhez, vagyis olyan csomag, amelynek elsődleges célja 
fájlkiszolgálót varázsolni egy linuxos gépből windowsos háló- 
zaton. A megosztott erőforrásokat más operációs rendszerek 
alól is el lehet érni. A Samba ügyfele csak a megosztott fájlok- 
hoz férhet hozzá. Macintosh alá is létezik ügyfélprogram, a 
DAVE, melynek egyetlen hátránya, hogy kereskedelmi termék, 
tehát fizetni kell érte. Így már egy meglehetősen tarka hálóza- 
tot is elláthatunk! 

Sőt, a Samba tudománya még itt sem áll meg: teljes értékű 
tartománykiszolgálóként üzemelhet, mely szolgáltatást azon- 
ban csak a windowsos gépek tudják kihasználni, azok közül 
sem mind. Ne rohanjunk azonban túlságosan előre: nézzük 
meg a PDC-t közelebbről. 


Mi is az a PDC? 


A PDC a Primary Domain Controller rövidítése. NI-s hálózat- 
ban azt a számítógépet nevezzük PDC-nek, amelyik a tarto- 
mánybeléptetéseket végzi, valamint a bejelentkezési parancs- 
fájlokat tárolja. A bejelentkezési parancsfájlok az ügyfeleken 
futnak, a kiszolgáló pedig valóban csak tárolja ezeket. PDC- 
ből csak egyetlen lehet egy hálózaton. A BDC (Backup 
Domain Controller) tükrözi a PDC -t, illetve szükség esetén 
egyfajta terheléselosztás lép életbe. BDC-ből több is előfor- 
dulhat egy hálózaton. Jelenleg a Samba hivatalos változata 
nem támogatja a BDC-t. Egy PDC felállításához a következők 
szükségesek: egy telepített, megfelelően beállított Samba, 

egy jelszóadatbázis, valamint egy olyan könyvtár, ahol majd 
a bejelentkezési parancsfájlokat tároljuk. Lássuk, hogyan 
oldhatjuk meg mindezt. 


PDC-beállítások 


A csomagot először telepítenünk kell. Ha a Samba segédesz- 
közök szétszórtan, több csomagban helyezkednek el, mindet 
telepítsük. A SuSE-ben például külön ügyfélcsomag létezik, 
mely jól jön a hibakereséshez, és nem foglal el sok helyet. 
Debian alatt megkérdezi, hogy démonként fusson-e vagy az 
inetd-ből induljon. Ez örök bizonytalanság forrása, ha ugyanis 
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egy folyamatosan üzemelő kiszolgálót akarunk felállítani, 
amelynek ez a fő feladata, mindenképpen démonkérnt jó fut- 
tatnunk. Amennyiben viszont az inetd-ből indítjuk, megvan 
az az előnye, hogy a tcp-burkolón (wrapper) keresztül éri el 

a szolgáltatást, ami biztonságosabb. Ekkor azonban lassúbb 
lesz az elérés, hiszen nem figyeli folyamatosan a kaput, hanem 
csak szükség esetén indul el. Ez azt is jelenti, hogy kevesebb 
erőforrást fog felemészteni. Mindent összevetve én úgy hatá- 
roztam, hogy démonkérnt telepítem, de az ellátandó feladat 
alapján mindenki saját maga döntsön. 

Ha telepítettük, jöhet a beállítás. A beállítóállomány a SuSE-nél 
a /etc/smb.conf, Debian alatt pedig a /etc/samba/smb.conf. 
Meglehetősen egyszerű felépítésű: különböző részekből áll, 
melyek kezdetét mindig a " [" és " ] " jelek közé tett nevük 
jelzi, például: [global] . A következő rész eleje egyértelműen 
az előző végét jelenti, és a részek nem ágyazódnak egymásba. 
Növ - rtOk párok találhatók bennük, amelyek csak az adott 
részben fejtik ki hatásukat (kivéve a [g1o0bal] -t). A megjegy- 
zés jele a " H" , vagy a " ; " . Az alapértelmezett beállítások mind 
a SuSE-, mind a Debian-rendszernél igen ésszerűek, így 
nekünk csak a legfontosabbakat kell átírnunk. 


[global] 
A rendszerre általánosan érvényes beállításokat tartalmazza. 
Ezek közül a fontosabbak: 


e. w horkgroup - SAMBA 
A munkacsoport nevének SAMBA tt állít be. A kis- és 
nagybetűk nem különböznek. Mivel itt egy PDC-t állítunk 
fel, értelemszerűen nem munkacsoportról, hanem tarto- 
mányról van szó. Itt kell megjegyeznem, hogy Windows 
3.x-, 95- és 98-ügyfelek sohasem lehetnek teljes értékű tagjai 
egy tartománynak. Egy külön munkacsoportba kell őket 
szerveznünk, majd a tartományba történő belépést köve- 
tően érhetik el a tartomány erőforrásait, a tartományban 
viszont nem fognak megjelenni. 

s  interfacesz192.168.1.110/255.255.255.0 
A használandó hálózati csatolókat és a hozzájuk tartozó 
maszkokat adhatjuk meg. Nem kötelező kitölteni. 

e server string- $h server (Samba $v) 
Windowsos gépeknél - ha a hálózaton tallózunk — a meg- 
jegyzés mezőben a gépünk neve mellett ez a szöveg fog 
megjelenni. Itt említeném meg a változóneveket: bárhol 
használhatjuk őket, mindegyik egy " 5" jelből és egy 
betűből áll. A fenti például ezt jelent(het)i: 
balazs server (Samba Version 2.0. 7). 

e coding system - 1508859-2 
client code page - 852 
Használatukkal a magyar ékezetes betűket tartalmazó 
fájlnevek mind a linuxos gépen, mind az ügyfeleken 
helyesen fognak megjelenni. 





e wins support - yes 
Segítségével a Sambát WINS-kiszolgálóként is üzemeltet- 
hetjük. Egy Windows-hálózaton mindenképpen érdemes 
felállítani egy WINS-kiszolgálót, mert sokkal gyorsabb lesz. 
Ha ezt a feladatot még egyik számítógépre sem bíztuk rá, 
mindenképpen , yes" -t írjunk. 

e oslevel-65 
domain master - 
local master z 


yes 
yes 


preferred master - yes 
domain logons - yes 
logon script - logon.bat 


Ezekkel állítjuk be ténylegesen a PDC-t. A logon 

parancsfájlnál megadott logon.bat-ot a Samba a 

Inetlogons] megosztEs-ban fogja keresni (lásd később). 
e preserve case - yes 

short preserve case - yes 

A kis- és nagybetűk kezelését állíthatjuk be. 


[homes] 

Valójában a [global] -on kívül minden rész egy-egy (share) 
megosztásként jelenik meg, amikor duplán kattintunk a Sambát 
futtató gépen. Léteznek különleges megosztások is: a Ihomes] 
a felhasználó saját könyvtárát helyettesíti, a [Ibprinters] a 
nyomtatókat. A többi mind egy-egy könyvtár, amelyre az elérési 
jogokat finoman szabályozhatjuk. Itt sem mutatok be minden 
beállítást, csupán egy alapbeállítást emelek ki közülük. 


comment - Sajat konyvtar ; ez lesz a home 
path - $H/smbhome ; nem t rli le 

; a fontosakat 
browseable - no ; tall zEs k zben 


; nem lAgthat 
read only - no ;  rhat is bele 
create mask - 0644 ; fxjl 

; lötrehozgZsakor 
directory mask - 0755 ; k nyvtEr 

; löőtrehozgsakor 


Egyetlen beállítás szorul magyarázatra, a path. Ha nem adjuk 
meg, a felhasználó home könyvtára lesz. Egy átlagos Windows- 
felhasználó könnyen letörölhet olyan .-tal (ponttal) kezdődő 
beállításfájlokat, amelyek nagyon fontosak. Éppen ezért tartot- 
tam lényegesnek a felhasználó saját könyvtárán (s5H) belül egy 
smbhome könyvtár létrehozását, így az első bejelentkezéskor 
üres, és úgy viselkedik benne, ahogy a kedve tartja. Ezt az utat 
választva felhasználóink megszelídítésére természetesen ne fe- 
lejtsük el az smbhome könyvtárat a /etc/skel könyvtárba felvenni, 
ezáltal minden új felhasználónknak önműködően létrejön. 


Ínetlogon] 

Smb.conf-unkba még számtalan egyéb megosztást is felvehe- 
tünk: lehetőségünk nyílik átmeneti könyvtárat, nyilvános terü- 
letet és számtalan más hasznos dolgot is létrehozni. A PDC 

, életében" nagyon fontos szerepet játszik a logon parancsfájl. 
Fentebb említettem, hogy a logon script - logon.bat 
sorban megadott logon . bat-ot a Samba majd a 

Inetlogonil -ban keresi. Itt kell megadnunk azt a könyvtárat, 
ahol bejelentkezési parancsfájljainkat fogjuk tárolni. Ne felejt- 
sük el a parancsfájlt mindenki számára olvashatóvá tenni! 


comment - Network logons 
path - /home/smbnetlogon 
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püblic E mio ; bErki azgort ne 
; olvashassa 


write list - Ooadminkak 


Az utolsó sorral meggyőződhetünk róla, hogy a könyvtárat 
csak az adminkak csoport tagjai írhatják. Biztonságunk 
érdekében erre a könyvtárra az " x" jogon kívül mindent 
vegyünk le az others-től. Fontos még a parancsállományok 
készítése során ügyelni rá, hogy a Windows másképp kezeli 
a sorvége jelet. Ne felejtsük el: a parancsfájlok az ügyfélen 
hajtódnak végre! 


CD-kiszolgáló 

Az eddig leírtak alapján nagyon egyszerűen készíthetünk 
CD-kiszolgálót: csak betesszük a CD-t a meghajtóba, majd 
a lemezlenyomatot egy egyszerű paranccsal elkészítjük: 


dd if-/dev/cdrom of-/home/images/potatol.iso 


Feltételeztem, hogy a /dev/cdrom helyes közvetett hivatkozás CD- 
meghajtónkra. Ezután fűzzük be a lenyomatot egy könyvtárba: 


mount -t iso9660 -o ro, loop 
5 /home/images/potatol.iso /mnt/isos/potatol 


Ehhez rendszermagszinten hurokeszköz-támogatás (loopback) 
szükséges. Ezt követően osszuk meg Sambával a /mnt/isos 
könyvtárat. Megjegyzem, magának a lenyomatnak a megosz- 
tására is lehetőség nyílik, ekkor még a CD címkéjét is meghatá- 
rozhatjuk. Legyünk azonban arra is tekintettel, hogy sok 

CD esetén átláthatatlanná teszi mind a beállításfájlt, mind 

a számítógépünk megosztásait. 

Még egy ötlet, ha CD-kiszolgálót helyezel üzembe: a hurokesz- 
közök legnagyobb száma alapértelmezés szerint nyolc, ez 
azonban igen kevés, ha Linux-rendszeredet ilyen célra szánod. 
Ha 2.2-es rendszermaggal rendelkezel és ragaszkodsz hozzá, 
akkor nehezebb dolgod lesz. A 2.2-es rendszermagba ugyanis 
bele van drótozva ez a szám, így át kell írnod egy fájlt a 
rendszermag forrásában, majd újrafordítanod az egészet. 

A /usr/src/linux/drivers/block/loop.c tájlban keresd meg a sort, 
és így írd át: 


tdefine MAX LOOP 256 


Ha nem akarod túl gyakran újrafordítani a rendszermagot, 
érdemes a legtöbbet, vagyis 256-ot írni. 

2.4-es rendszermag esetén a LILO-nak a következő rendszer- 
magértéket kell átadni: max 100p-256 (ehhez újra kell 
indítanod a számítógépet). 

Remélem, tapasztalataim megosztásával a segítségedre lehettem, 
így a Linux használata más vállalatoknál is hasonlóan gördülé- 
kenyen mehet. Érdemes foglalkozni vele, mert megbízható, 


ak s 


könnyen továbbfejleszthető és nem utolsósorban olcsó megoldás. 


2 http:/www.samba. org. 


Fülöp Balázs 

(xutoOfreemail.hu) 

17 éves gimnazista diák. Imádja a lúró Rudit, a Debian Linuxot 
és a teheneket. Az ELITE Radnóti Miklós Gyakorlóiskola tanulója 
immár ötödik éve. Kedvenc írója Slawomir Mrollek. Leginkább 
a számítógépes hálózatok biztonsága érdekli. 


2001. október 99 


. Szaktekintély 


0 Kiskapu Kft. Minden jog fenntartva 





KKE 


0 Kiskapu Kft. Minden jog fenntartva 
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Gimpről szóló cikksorozatunk a befejező részéhez érkezett, s reméljük, olvasóink kellő 
bepillantást nyerhettek a webes felületre szánt grafikák elkészítésének rejtelmeibe. 


zárórészben áttekintjük az eddigi 
témákat, összefoglaljuk a tulaj- 
donságokat és befejezzük a masz- 
kolás témakörét, majd rövid bevezetést 
nyújtok a belső függvények készítésébe. 





A kép hátterének megváltoztatása 

Az előző cikkben szereplő elméleti beve- 
zető után most a maszkolás gyakorlati 
részével foglalkozunk. Alkotásaink létre- 
hozása során gyakran szükségünk lehet 
a háttér módosítására, ezért megnézzük, 
miként is változtathatjuk meg. Vessünk 
egy pillantást az 1. képre! 

Az elkészült kép jól sikerültnek nevez- 


2. kép A kép hátterének módosítása 


hető, de a háttér bal szélén nyomasz- 
tóan hat a szikla, így hát lecseréljük. 
Első lépésként takarjuk ki a cserélendő 
területet, amelyet egy új csatornában 
ajánlott elkészíteni — ha így cselekszünk, 
később akár kijelölésként, akár maszk- 
ként is gyorsan alkalmazhatjuk. A maszk- 
ban mindenki kedve szerint, valamint 
megszokott eszközei segítségével készít- 
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heti el a kitakarást, ennek menetét soro- 
zatunk előző részében mutattam be. 

A cikkben szereplő kép szerkesztését 
időközben befejeztem, a munka vég- 
eredménye a 2. képen látható. 
Háttérként szándékosan választottam 
ezt a kissé meglepő képet, ezáltal 
ugyanis jobban elválik a korábbi és a 
mostani háttér. A mű" még egyáltalán 
nincsen készen, például a szörfös vitor- 
láján lévő ablakon át látszik a korábbi 
háttér. A hibák felsorolását folytathat- 
nám, de gondolom, az olvasók még 
nálam is jobban látják ezeket. Szeren- 
csére a Gimp kínálta maszkolásnak 
köszönhetően mindent kijavíthatunk. 
Hozzunk létre egy újabb maszkot, amely 
a szörfös vitorlájának ablakát tartalmaz- 
za, ezen tudjuk majd az átlátszóságot 

a kívánt mértékűre igazítani. A feladat 
megoldását olvasóinkra bízom, a munka 
elvégzéséhez szükséges fájlokat mind 

a CD-mellékleten, mind az Interneten 
megtalálhatjátok. Az elkészült képeket 
a Világhálón fogjuk , kiállítani . 


A beépített függvények bővítése 

A sorozatunk első részében számba vett 

szolgáltatások közül a Gimp egyik leg- 

előnyösebb és legnagyobb témakörével 
eddig még nem foglalkoztunk. Többek 
kérésére most a Script-Fu függvények 
készítését tekintjük át röviden. E téma- 
kört több szempontból is sorozatunk 
végére hagytam: 

1. Nem a programozással kezdtem, hogy 
a nem programozói beállítottságú 
olvasók se riadjanak vissza a Gimp 
használatától. 

2. A Gimp programozásához jól kell 
ismerni a program működését. 

3. A sorozat elsődleges célja nem a prog- 
ramozás elsajátítására, hanem a Linux 
grafikai lehetőségeinek kihasználására 
irányult. 

Tehát figyelem, kevésbé ,programozó- 

kedvű" olvasók is nyugodtan tovább 

olvashatják írásunkat. 


Mi a Script-Fu 

és hogyan lehet használni? 

A Script-Fu elnevezés nem japán ételt 
vagy italt, hanem a Gimp Lisp-alapú, 


beépített programozói felületét takarja. 

A felépítés, valamint a programozási 

nyelvek fejlődésének részletes ismerte- 

tésétől terjedelmi okok miatt most 
tekintsünk el. A Script-Fu használatára 
két alkalommal nyílik lehetőségünk: 

1. A Gimp belső parancsainak ismere- 
tében kis programunkat szövegszer- 
kesztő segítéségével készítjük el 
(gyakorlott programozók a cat 
segítségével is írhatják). 

2. A konzol (3. kép) és a DB-böngésző 
(4. kép) segítségével összeállítjuk a 
programot, majd a kódot kedvenc 
szövegszerkesztőnkkel készítjük el. 


Krómfelirat 

készítése a Script-Fu konzolon 

A következő részben a feliratot szer- 
kesztjük meg a Script-Fu konzolon. 

A rajzok elkészítése során már említet- 
tem, hogy alkotáskor az összetett felada- 
tokat érdemes kisebb, a programban 
végrehajtható lépésekre bontani. Ez az 
állítás a függvények estében még foko- 
zottabban érvényes. A konzol (3. kép) 
alsó sorába írhatjuk be a parancsokat. 
Ha valamelyik parancs felépítésével 
vagy működésével nem vagyunk telje- 
sen tisztában, a Tallózás (Browse) gomb- 
ra kattintva megnézhetjük a parancshoz 
tartozó leírást (4. kép). 

Gépeljük be a következő parancsot: 
(gimp-image-new 200 200 RGB) 
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3. kép A Script-Fu konzol 





ekkor a konzolon az alábbi üzenetet 
látjuk: 

-5 (gimp-image-new 200 200 RGB) 
(0) 

Az első sorban láthatjuk a végrehajtott 
utasítást, a másodikban pedig az azáltal 
visszaadott értéket. Mit is csinált ez 

az utasítás? Létrehoztunk egy 200 xX200 
méretű RGB-képet. De mi a (0)? A DB- 
böngészőben azt olvashatjuk, hogy ez a 
kép hivatkozási száma. Remek, sikerült 
elkészítenünk képet, viszont nem látjuk! 
Megszoktuk, hogy kép a létrehozása 
után azonnal látható lesz. Itt azonban 
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5. kép A Gimpben található 
krómfelületű függvény eredménye 


láthatóvá kell tennünk. Az elején 
nehézséget okozhat nekünk, hogy azok 
a szolgáltatások, amelyeket a 
programban megszoktunk, itt külön 
működnek, tehát ahhoz, hogy a képet 
láthatóvá tehessük, egy réteget kell 
hozzáadnunk : 

(gimp-layer-new 0 200 200 
5RGB-IMAGE "reteg" 

5100 NORMAL-MODE) 


-:5 gimp-layer-new 0 200 200 
5RGB-IMAGE "reteg" 

5100 NORMAL-MODE 

(2) 

Sikerült! A parancs által visszaadott 
érték (2) a réteg hivatkozási száma. 
legyük láthatóvá a réteget: 
(gimp-image-add-layer 0 2 0) 
-:5 gimp-image-add-layer 0 2 0 
() 

Majd a képet is: 

(gimp-display-new 0) 

-:5 (gimp-display-new 0) 

(1) 

Senki ne ijedjen meg, nem rontott el 
semmit - a réteg csak a memóriában 
található ,szeméttel" van feltöltve, ezért 
meg kell tisztítanunk: 
(gimp-drawable-fill 

52 GB-IMAGE-FILL) 


www.linuxvilag.hu 





-5 (gimp-drawable-fill 
5352 BG-IMAGE-FILL) 
() 
Ennél a szolgáltatásnál ügyeljünk rá, 
hogy a réteg rajzolható legyen. Ha a 
fenti utasításokat a kódba szeretnénk 
írni, az alábbi módon tehetjük meg: 

(define (my-make-new-image) 
(let ((image (car 
3 (gimo-image-new 200 200 RGB) ) ) 

(layer (car 
 (gimp-layer-new image 
5200 200 RGB-IMAGE "reteg" 
535100 NORMAL-MODE) ) ) ) 
(gimp-drawable-fill 
s ]layer BG-IMAGE-FILL) 
(gimp-image-add-layer 
image layer 0) 
(gimp-display-new 
image) 
image) ) 
Íme, első Script-Fu függvényünk — még 
nincs kész, de máris nagyon ígéretes. 
Írjuk bele a következő szöveget: 

(gimp-text-fontname 0 3 0 0 
str íinüxt 0 1 25 PIXELS 
5". abisource-courier-regular- 
—r-normal--xk-x-75-75-p-90 
$-1508859-1") 

-5 (gimp-text-fontname 0 300 
ett inuxt 0 1 25 PIXELS 
s". abisource-courier-regular 

—.r-normal--$k-r-75-75-p-90 
9: 1808859-1"9) 

487 
Már olvashatjuk is. (Figyelem, a fenti 
betűkészlet nem biztos, hogy más gépen 
is működik!) Készítsünk másolatot a 
rétegről, mivel azonban a DB-böngé- 
szőben nincs ilyen eljárás, most létre kell 
hoznunk egyet: 

(define (my-duplicate-layer 
image layer) 

(letr ((dup-layer 

(car (gimp-layer-copy layer 
01111 

(gimp- image 

.add-layer image dup-layer 0) 
—dup-layer) ) 

Miután az eljárást beírtuk a konzolba 
(egy sorba), hajtsuk is végre: 

-s5 (my-duplicate-layer 0 3) 

(8) 

A következő lépésben méretezzük át a 
réteget: 

(gimo-layer-resize 8 200 100 5 5) 
Ezután az alfacsatorna szerint jelöljük 
ki, majd szövegünkhöz adjuk hozzá a 
vastag keretet is: 

(gimp-selection-layer-alpha 8) 

(gimp-selection-grow 0 5)§ 

A kép kiszínezése előtt rétegünket 
tegyük átlátszóvá: 


. Szaktekintély — 


(gimp-layer-set-preserve 
e:-trangs 8 0] 

-:5 (gimp-blend 8 CUSTOM 

5 NORMAL LINEAR 100 0 REPEAT 
2-NONE FALSE 0 0 0 0 30 50) 
() 

Parancsfájlunk számára minden apró kis 
építőkocka rendelkezésre áll, tehát nincs 
más hátra, mint leírnunk. Miután pa- 
rancsfájlunk szövegszerkesztőbe vitelét 
sikeresen befejeztük, felmerül a kérdés: 
miként vehetjük rá a Gimpet, hogy hasz- 
nálja is? A saját Script-Fu függvényeket a 
—/.gimp-1.2/scripts/ könyvtárban tároljuk. 
A Gimp ezeket minden indulás után itt 
keresi, és ha a formátumuk megfelelő, 
azonnal használatba is vehetők. Mi szük- 
séges ahhoz, hogy használható kódot 
kapjunk? A DB-böngészőben használt 
utasításokat adott formai követelmények- 
nek megfelelően kell leírnunk. Kódunk 
végére az alábbi szöveget másoljuk be: 
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(script-fu-register 
—m "kromfelirat keszitese" 
. "zZToolböxs/xXxtns/Seript 
5. Fu/Egyeb/Kromfelirat..." 
"Felirat keszitese 
s szinatmenettel" 
"Gabor Suveg" 
"Gabor Suveg" 


"Sept 2001" 
NT 
SF-SIRING "Text" 
sz ur inux!" 
SF-FONT "Font! !-x- 


Hit wisé aloháa-et-rste4t eke 
kk kökökökökN 
SF-VALUE 

sz "BOT ) 


"Font Size" 


Az elkészült program 

A fenti leírás csak betekintést kívánt 
nyújtani a Gimp programozási lehető- 
ségeibe. A fenti programon még renge- 
teg dolgot kell javítani, illetve csiszolni. 
A továbbfejlesztett, kijavított szűrőt 

a Kit./Scipt-Fu/Logók/ Króm... alatt talál- 
hatjuk meg (lásd az 5. képen). 

Ezennel Gimppel foglalkozó sorozatunk 
a végéhez érkezett. lovábbi leírások 

és ismertetők elérhetők lesznek a 

2 http:/www.gimp.hu oldalon, és 

a későbbiekben is szívesen válaszolok 
minden felmerülő kérdésre. 

Köszönöm a figyelmet! 


Süveg Gábor 
(gsuvegosgsytem.com) 
Régóta használ Linuxot 
és BSD-t. Hobbija a búvár- 
kodás, a vitorlázás és a 
számítógépes grafika. 
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A konzolos levelezés alapjai és a titkosítás 





Ha utánagondolunk, egy levél elküldése során legalább két gépen halad keresztül, 
és felmerülhet bennünk a gyanú, hogy megőrzi-e hitelességét és épségét. 


em új igény ez az emberiség számára, már Hérodo- 
tosz az ie. V. századi görög-perzsa háborúról szóló 
írásában is megemlíti. Demaratusz a perzsa Szúzában 
élt, így hamar értesült Xerxész Spárta elleni terveiről. Ezért 

-— noha számkivetett volt -— egy fatáblára véste figyelmeztető 
üzenetét, melyet aztán viasszal vont be. Ezt hívják szteganog- 
ráfiának, amely a görög steganos (takar) és graphein (írni) 
szavak összetétele. Az elektronikus világban a szöveget gyak- 
ran képek, hangok bitjei közé rejtik, ám meg kell említeni, 
hogy természetesen megfelelő módszerek léteznek a felisme- 
résükre is. A háború nyilván szélsőséges példa, ám a gyakorlat 
azt mutatja, hogy levelét azért mindenki borítékba teszi — noha 
gyenge védelem, mégis megóv a kíváncsi szemektől. 

Ezzel párhuzamosan fejlődött a kriptográfia, melynek nevét 

a görög kryptos (rejtett) szóra vezethetjük vissza. Itt már nem 
magának az írásnak az elrejtése volt a cél, hanem az írás értel- 
mének, üzenetének a kódolása. Az írást valamilyen visszafor- 
dítható eljárással érthetetlenné tették, majd ezt küldték el. 

Az eljárás magában hordozta a kulcsot is, és az volt az előnye, 
hogyha az elküldött szöveget , elcsípték", akkor is érthetetlen 
maradt. A kriptográfia alapvetően két módszert használ: a 
helyettesítést és az átrendezést, pontosabban egy adott kulcs 
segítségével egyértelműen helyettesíti az üzenet betűit, illetve 
egy előre rögzített szabály alapján cseréli fel azokat egymás 
között. Ismét következzék egy érdekes történelmi példa: az 

ie. VI. században a Kámaszutra szerint a nőknek 45. megszer- 
zendő tudásként a mlecchita-vikalpa-t, azaz a titkosírást kellett 
elsajátítaniuk. Egy javasolt módszer szerint az új ábécét az 
ábécé betűinek véletlenszerű társítása adta meg. 

A fentiek alapján már mindenki tudna titkosítani, ám maradt 
még egy gond: a kulcs eljuttatása a fogadó félhez, hogy el is 
tudja olvasni az üzenetet. Itt lép be a nyilvános kulcsú kriptog- 
ráfia, melynek lényege, hogy a kulcsot, pontosabban annak 
egy részét megosztjuk másokkal. A titkosítókulcsot két cso- 
portra bontjuk: titkosra és nyilvánosra. Hogy ennek mi az 
értelme, egy példán keresztül szemléltetem. 

legyük fel, hogy titkosított üzenetemet úgy küldöm el, hogy 
beteszem egy ládába, amit lelakatolok. A kulcsot megtartom 
magamnak. A címzett, amikor megkapta, ráteszi a saját lakatját 
is, és visszaküldi nekem. Ekkor én leszedem a saját lakatomat 
és visszaküldöm a ládát. Végül a címzett mindössze leszedi a 
saját lakatját és hozzáfér a levélhez. A ,kulcsot" ezekután úgy 
érdemes elképzelni, hogy egy lakatból és annak kulcsából áll: 
a lakat legyen nyilvános, a kulcs pedig titkos. Azért kedvező, 
ha a lakat a nyilvános, mert előre szét lehet szórni a címzettek 
között. A feladó csak felteszi a címzett lakatját a ládára — a lakat 
ugyanis mindenki által könnyen zárható -, de (elvileg) csak 

a saját kulcsával nyílik, amit természetesen egyedül a címzett 
birtokol. Ha ilyen virtuális lakatunk lenne, könnyű lenne lemá- 
solni és szétosztani a leendő feladók között. Nos, léteznek ilyen 
matematikai virtuális lakatok, amelyek az egyik irányban 
könnyen zárnak, ám nehéz kitalálni, milyen volt a hozzá 
tartozó kulcs. Ezek a módszerek leggyakrabban a véletlen 
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(illetve a véletlenszerű) számokra és a faktorizációra épülnek. 
Fontos még beszélnünk a hitelességről és az aláírásról. Ameny- 
nyiben a fenti módszer segít abban, hogy a két fél megőrizze 

a titkát, ugyanúgy felhasználható a hitelesség garantálására is. 
Ehhez szavatolni kell, hogy a lakatok tulajdonosai valóban 
azok legyenek, akikre mi gondolunk. Ekkor az úgynevezett 





Mutt súgó 


44 al 


bizalmi háló használatos: a felek aláírják egymás nyilvános 
kulcsait, ha meggyőződtek a valódiságáról. Ezekután gondol- 
juk meg: ha valaki aláírta az én kulcsomat (mert ismer), akkor 
egy esetleges feladó, aki megbízik az ismerősömben, bízhat 
benne, hogy az én nyilvános kulcsomat használja. lermésze- 
tesen a fenti viszonyokat igen összetetté lehet tenni, innen 
ered a háló elnevezés. 

A fentiek összessége bonyolult rendszert képez, melynek 
alkalmazása különleges odafigyelést igényel, ez pedig ellen- 
tétes a könnyű használhatóság igényével. Néha olyan körülmé- 
nyes, hogy nem éri meg vele bajlódni, ám többnyire ilyenkor 
keletkeznek a biztonsági rések, hiszen lusták vagyunk és 
kódolást sem használunk. Ebben segít a Mutt levelezőprogram 





Mutt levelező és a GP menü 


és a GnuPG programpáros: összekapcsolásukkal könnyen 
használható, olcsó levelezőrendszert hozhatunk létre, amely 
egy-két gymbnyomásnyi közelségbe hozza a biztonságos 
levelezést. Nézzük, miképpen! 

A Mutt levelezőprogramról mindenki úgy hiszi, hogy pilóta- 
vizsgás rendszer, de az első lépések megtétele után rá kell jön- 
nünk, hogy bár a kezdet itt is nehéz, a továbbfejlődés könnyű 
és szinte határtalan. Elsőként határozzuk meg, hogy levelező- 
programunkban milyen szolgáltatásokra tartunk igényt: 


e legyen könnyen kezelhető, 

e öt különböző levélcímemet (család, munka stb.) kezelje, 

e a beérkező leveleket válogassa — bizonyos szűrési feltételek 
szerint — külön könyvtárba, 

e legyen belőle könnyen elérhető a GNUPGBE 

e használja kedvenc szerkesztőmet és fájlnézegetőmet. 


Általában majd minden Linux-terjesztésnek része a Mutt, 

a GPG, a Fetchmail és a Procmail csomagok, vagy forrásban 
hozzáférhetők az Interneten. 

A Mutt első nekifutásra valóban nagyon keveset tudó alkalma- 
zás, de ez csak azért van így, mert az alapbeállítás az úgyneve- 
zett , fapados" beállításokat tartalmazza. A telepítés után első 
lépésként saját könyvtárunkban a .muttrc-t kell létrehoznunk, 
mivel ez az állomány fog tartalmazni minden olyan apró beál- 
lítást, amelyet a program indulásakor mindig be fog olvasni, 
és ezek szerint fogjuk használni. Fenti igényeink megvalósítá- 
sához a következő .muttrc szükséges: 

ti 


H System-wide configuration file for Mutt 
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A színbeállítások 


color hdrdefault red default 

color guoted brightblue default 

color signature red default 

color indicator bridgfittyellow red 

color error brightred default 

color status yellow blue 

color tree magenta default 

H the thread tree in the index menu 
color tilde magenta default 

color message brightcyan default 

color markers brightcyan default 

color attachment brightmagenta default 
color search default green 

H how to hilite search patterns in the pager 


color header brightred default 

5" (Erom] Subject) : 

color body magenta default 

SET tepIhtepie// [e] V E DGÍMNEFOULTURÉS 
colrostbody magentatdetauto aa z 00SS 
aaa z 09] Hac mar radevesses 
color underline brightgreen default 


tt 

set folder--/mail 

Értelemszerűen itt határozzuk meg, hol legyen a kiindulási 
könyvtár. 

set editore"viv" 

Ez a kedvenc szerkesztőnk, amit a levelek megírásához szeret- 
nénk használni. 

Set CháatsetsTiSO-8B85I-ZT 

A levelek kódolása írásnál-olvasásánál egyaránt használatos. 
set hostnamezőleveléző műtikállomas hu" 

A gépünk neve. 

set sörtsdate-reécéived 

A beérkezés dátuma szerint rendezzük a leveleket, ami menet 
közben dinamikusan változtatható. 

set spoolfile-"-/mail/Inbox" 

A bejövő levelek helye, illetve annak megadása, hogy az alkalma- 
zás induláskor mely levélcímünkhöz tartozó leveleket töltse be. 
set tmpdir-/home/guska/tmp 

Ez adja meg, hogy a szerkesztőnk hova rakja az úgynevezett 
piszkozatot. Ennek akkor van nagy szerepe, ha egy esetleg 
bekövetkező áramszünet miatt az éppen megkezdett levelet 
szeretnénk megkeresni, továbbá azért is célszerű beállítani 
ezt a szolgáltatást, mert ellenkező esetben az alapértelmezés 
szerinti /tmp-t használja, amelybe esetleg más felhasználók is 
beleláthatnak, és leveleink egy részét el is olvashatják. 

my hdr X-Operating-System: GNU/Linux 
Megadhatjuk, hogy a levelező a levél fejlécében található 
operációsrendszer-meghatározásba mit is írjon. Ide érdemes 
nem túl sok adatot eláruló megjegyzést elhelyezni, ugyanis 
sokan rosszul értelmezett büszkeségből szinte a teljes rendszer 
jellemzését megadják, például: GNU/Linux Debian Woody, 
2.4.9 rendszermag, Mutt 1.2 stb. Ezek az adatok gyengítik 
védelmi vonalainkat, hiszen ha például kijön egy ismert 
biztonsági hiba a 2.4.9-es rendszermagra, mi máris elárultuk, 
hogy azt használjuk. 


2001. október 99 


. Szaktekintély 


0 Kiskapu Kft. Minden jog fenntartva 














0 Kiskapu Kft. Minden jog fenntartva 


színbeállítások 

Listánkon jól látható, hogy szinte minden mezőhöz színeket 
rendelhetünk, de csak a lényeges elemeket érdemes külön szín- 
nel ellátni, mert a túl színes levelező egy idő után átláthatatlan. 
my hdr From: Csaba S. Varga cguskagguska.hu: 

my hdr Reply-To: Csaba S. Varga cguskagguska.husz 
set signature-"-/.signature" 


folder-hook . my hdr From: Csaba S. Varga 

5 -guskagguska. hus 

folder-hook 2: íw. dt Reply-Tos: Csaba S. Váatga 

5 -guskagguska. hus 

Töolder-hook. ,. my. hdye cz es 

folder-hook ,. my.hdr Bdc: as 

folder-hook set signature-"-/.signature" 

Ezek a sorok mondják meg a levelezőprogramnak, hogyha egy- 
szerűen csak a Postafiókból (Inbox), vagy valamilyen más, külön 
meg nem határozott postafiókból kezdeményezünk levélírást, 
ki legyen a feladó, és az aláírást melyik fájlból vegye stb. 
folder-hook -l]lme my hdr From: Csaba S. Varga 

5 c-guskaggnu. husz 

foldér-hook -l]lme my hdr Reply-To: Csaba S. Varga 
5 -guskaggnu. husz 

folder-hook -1lme set signature-"-/.signature-1me" 
Ha a levélírást az LME levelezőfiókból kezdeményezem, a levél 
a gnu.hu-s címmel és más aláírófájl használatával megy ki. Így 
lehet például a céges levélcímet és a magánlevélcímet ugyanab- 
ban a levelezőben használni. 

fec-MHOooKk 1£60-hoök 

Minden Muttból küldött levelet tárolás céljából a , sent-mail" 
levelesládába fűzzön le. Ez a szolgáltatás nagyon hasznos lehet 
vitás levelek utólagos előkeresésekor. 

set pgp verify sig-yes 

Set púp replyencrypt 

set pgp replysign 

set pgp timéoütsődi 

Ezek a sorok tartalmazzák a PGP- és GPG-programokra vonat- 
kozó meghatározást, amelyben jelszavunk időbeni érvényes- 
ségét rögzítjük, továbbá ha valaki eleve titkosított levelet ír 
nekünk, akkor véletlenül se fordulhasson elő, hogy általános 
levélként továbbítjuk, illetve segítségével a válasz is önműkö- 
dően kódolt lesz. 

send-hook kisvakond "set pgp autosign-yes; set 
pgp autoencrypt-yes" 

Amennyiben valakivel olyan levelezési kapcsolatban állunk, 
hogy minden egyes levelünk titkosított küldését követeli meg, 
érdemes használni, hiszen így a Kisvakond becenevű illetőnek 
úgy írhatunk levelet, hogy a rendszer elküldés előtt rákérdez 
GPG-jelszavunkra. 

Az új 1.1-es Mutt-rendszerek GPG-kezeléséhez további sorok 
szükségesek, mivel azonban ezek igen hosszú bejegyzések és 
igazából csak a GPG számára értelmezhetők, érdemes őket 

a GPG-leírásból bemásolni (körülbelül 10-15 sor). 

A Mutt innen olvassa be a címjegyzékünket, amelyet az adott 
formátumban kell elhelyezni. Ha a levelezőprogramban egy 
levélen állva megnyomjuk az A billentyűt, a címzett nevét és 
címét a .muttrc-hez fűzi. 

A Debian Woodyban található 1.3.20-1-es Mutt már a magyar 
nyelvet is támogatja. 


Procmail 

A Mutt összes szolgáltatásának kényelmes eléréséhez érdemes 
a Procmail segédprogramot használni. Ez olyan alkalmazás, 
amely a levelezőkiszolgálótól átveszi a leveleket, amelyeket 
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a megadott feltételek alapján szűrni is tud, majd az általunk 
megnevezett levelesládába rakja. A Muttnál itt is szükséges egy 
beállítóállomány, amelyet .procmailrc néven a könyvtárunkba 
kell helyezni. A .procmailrc csak akkor használható, ha a 
gépünkre mind levelezőkiszolgáló program, mind a Procmail 
segédprogram telepítve van. 


A .procmailrc 

SHELL-/bin/bash 

Ez adja meg, milyen héjprogramot használunk. 
MAILDIR--/mail 

A levelek könyvtárának a helye. 
LOGFILE-SHOME/procmailrc.log 

A könnyebb kezelhetőség érdekében érdemes naplózni, hiszen 
ez alapján megtudhatjuk, hogy egy-egy letöltéskor mely leve- 
lesládánkba hány levél érkezett. 

:0 

k " (From]Cc]ÍTolReplyv-To) : . "haragosomadomainje.hu 
/dev/null 

Egy Procmail-bejegyzés általában három sorból áll, a :0 hatá- 
rozza meg, hogy egy szűrési feltétel fog következni, a " után 
pedig felsoroljuk, hogy a levél milyen mezőjében mit szeret- 
nénk szűrni. Jelen esetben, ha a haragosom(odomainje.hu-tól 
kapunk levelet vagy neki küldték, önműködően a nagy , Unix- 
iktatóba" kerül. 

:0 

xx "Reply-To: lmeGlists.linux.hu 

SMAILDIR/ lme 

A formai követelmények ugyanazok, csak jelen esetben a leve- 
let nem eldobjuk, hanem levelesládába rakjuk. 

:0 wc 

k X 

SMAILDIR/mentes 

Ha ez az utolsó sor a .procmailrc-ben, akkor minden bejövő 
levélből az irattárba is kerül, és az előtte meghatározott szűré- 
sekből értelemszerűen nem kerül mentésre, csak ami túlhaladt 
azokon a szűrési feltételeken. Ez hasznos lehet, mert így a 
különböző levelezési listákat külön tárolhatjuk, valamint 
mentés nevű levelesládánkba csak a fontos levelek kerülnek. 
Mivel másolatról van szó, a levél a Postafiókba is eljut. 

:0 

k XX 

SMAILDIR/ Inbox 

Ezzel a Postafiókot adjuk meg. 

További hasznos segédprogram még a Procmailhez tartozó 
Mailstat , amely a procmail.log-ot a 2. listán (20. CD Magazin/ 
Mutt) látható módon képes kiértékelni. 

lermészetesen mind a Procmail, mind a Mutt beállításai a 
fentieken kívül még számos kedvező lehetőséget nyújtanak. 
A bemutatott beállítások segítségével jól használható leve- 
lezést alakíthatunk ki, amelyet szinte a végtelenségig tovább 
lehet fejleszteni. 


E cikkre a Free Document Licence vonatkozik. 
2 http:/www.gnu.hu/fdl.html 


Varga S. Csaba 

(guskacoguska.hu) A 1.1-es Slackware óta 
lnuxozik. Kedvtelései közé tartozik a fotózás és 
Linux telepítése a PDA-kra. Legszívesebben 

a Gerecsében túrázik. Barátjával, Somogyi (Jerry) 
Péterrel együtt írta e cikket. 








A Courier-IIMAP 





Íírásunk vizsgálódásának a tárgya az egyik leghatékonyabb IMAP-kiszolgáló, melynek 


bemutatjuk a telepítését és a beállításait IS. 


lvasóink választása a múlt havi szavazáson a Cyrus 

ellenében a Courier-IMAP-ra esett. Az okokat most 

nem vizsgálom, de megígérem, a jövő hónapban 
a Cyrus is sorra kerül. 
Vizsgáljuk meg a Courier tulajdonságait, sajátosságait. A szok- 
ványos IMAP-kiszolgálóktól annyiban tér el, hogy csak és kizá- 
rólag a Dan Bernstein által bevezetett Maildir levéltárolási 
formát, illetve a saját formátumát, a Maildir----t támogatja. 
A Maildir formátum feltételezi, hogy a beérkezett levelek 
külön állományban (fájlban) kerültek tárolásra a felhasználó 
saját könyvtára alatt található Maildir könyvtárban. Az új 
levelek a —/Maildir/neu/, az olvasottak pedig a —/Maildir/cur/ 
könyvtár alatt vannak. A —/Maildir/tmp/ könyvtár egy köztes 
könyvtár, amelyben a levél beérkezésekor addig marad egy 
biztonsági másolat, ameddig nem biztos, hogy sikerült mente- 
nünk a new/ könyvtár alá. A könyvtárat a kiszolgáló akkor is 
használja, ha az olvasott levelet a new/ könyvtár alól mozgatja 
át a cur/ alá. A Maildirt4- annyiban különbözik az eredeti 
formától, hogy támogatja a tárkorlátokat (guota). A tárkorlá- 
tok segítségével szabályozhatjuk, hogy egy felhasználó mek- 
kora mennyiségű adatot tárolhat a rendszeren. Az általános 
tárkorlát, a felhasználók által birtokolt összes állományra 
vonatkozik. A Maildir--- beállatása csak a levelekre vonat- 
kozik, azonban ne felejtsük el: ha az általános tárkorlát kisebb, 
mint a levelezéshez használt, természetesen az fog érvénye- 
sülni. A Maildir-t4- formátum tárkorlátja nemcsak a tárolható 
levelek legnagyobb méretére vonatkozhat, hanem beállítható 
legnagyobb mennyiségük is, tehát megadhatjuk, hogy egy 
felhasználó tíz megabájttal avagy kétszáz levéllel rendelkezhet. 
Másik kellemes tulajdonsága, hogy szinte bármilyen formában 
képes azonosítani a felhasználót. A teljes támogatottsággal bíró 
azonosítási formák között szerepel az authpwd a felhasználói 
adatbázis (/etc/passwd), valamint az authshadow a /etc/shadow 
alapján. Az authpam az összes felületen tud azonosítani, mely 
a PAM-on keresztül lehetséges, például MySOL, LDAB shadow 
és egyszerű jelszóállomány, Samba jelszóállomány. Egyéb 
támogatott formák (ezek közül is csak az érdekesebbek): 
e  authildap - az LDAPt-kiszolgálóval való kapcsolattartáshoz, 
e  authmysal - azok számára ajánlom, akik szeretik a kihí- 

vásokat, működésében akad ugyanis egy-két , meglepetés" . 

Ezenkívül több azonosítási formát is támogat, közülük az 
authvchkpw említésre méltó - ez szükséges ahhoz, hogy a 
vpopmai1 programot használhassuk (erről a cikk folyamán 
még szót ejtünk). Bevezetett egy saját formát is, a userdb-t, 
melyet csak a külön csomagként telepíthető mai ldrop prog- 
ram támogatja. A maildrop program is a Courier-kiszolgáló 
része és hasonlít a procmai1-hez, de szűrőnyelvéhez képest 
a procmai1 egyszerűnek nevezhető. 
Az azonosítási formák közül többet is használhatunk majd. 
Mikor hasznos ez a számunkra? Ha például felhasználók 
találhatók a rendszeren, de virtuális felhasználókkal is rendel- 
kezünk, akiket például LDAP-adatbázisban tárolunk. Ekkor 
először lekérdezzük a rendszeren található , normál" felhaszná- 


www.linuxvilag.hu 


Az azonosítási 
eljárások programjainak jellemzői 


MySOL 
Az SOL-alapú programok mindig is hatékonynak és méretezhetőnek 
számítottak. Az SOL könnyen elsajátítható, nagyon hatékony 
lekérdező nyelv. Az adatbázist úgynevezett táblák alkotják, melyek- 
ből lekérdezésekkel nyerjük ki az adatokat. A Courier IMAP-modulja 
is hasonló lekérdezést hajt végre a megadott táblákon. A MySOL 
az egyik legnépszerűbb nyílt forráskódú adatbázis-kezelő, mely 
főleg a gyorsaságáról híres, legnagyobb ellenfele pedig a Postgre- 
SOL (lásd még augusztusi számunk 40. oldalát). 


LDAP 
Az LDAP — azaz Lightweight Direcory Access Protocol, a kifejezést 
körülbelül , Könnyűsúlyú Könyvtárelérési Protokoll"-ként fordíthat- 
nánk. Nagy mennyiségű adat kinyerésére találták ki, a hangsúly 
tehát az adatok olvasásán, nem pedig az írásán van. Az adatok 
elrendezése fára hasonlít, alkalmazásával ugyanis a jellegzetes 
faszerkezetet láthatjuk viszont. Nyílt forrású megoldást az Open- 
LDAP biztosít a számunkra. Az eljárás nagyon hatékony, de a keze- 
lését nehéz elsajátítani, és sajnos nem létezik könnyen kezelhető 
LDAP-szerkesztő, illetve kezelőfelület. Az iPlanet kereskedelmi 
termék, és ez a leghatékonyabb megoldás, mert jól használható 
kezelőfelülettel rendelkezik. A Novell NDS-e, valamint a Microsoft 
Active Directoryja is az LDAP alapjául szolgáló X.500-as szabvány 
leszármazottja. 


PAM 
Ha egy szolgáltatás megírásához PAM-alapú azonosítást végre- 
hajtó modult használnak, a fejlesztő jókora terhet vesz le a felhasz- 
nálók válláról. Ami ugyanis a Pluggable Authentication Module-on 
keresztül tud azonosítási adatokat közölni a rendszerrel, az mindent 
fel tud használni, amihez csak modult írtak. A legfontosabb 
modulok: mysal, postgresal, Idap, shadow, passwa. 
A PAM lényege, hogy a lekérdezést végző programnak nem kell 
rendszergazdai jogosultság — például a shadow fájl lekérdezéséhez, 
ezt ugyanis megteszi helyette a modul. 


lókat, majd ha nem találunk a címzettnek megfelelő felhasz- 

nálót, áttérünk a következő modulra. Erre a beállításnál példát 

is láthatunk majd. 

Egyéb előnyei: 

e SSL-protokoll támogatása, amennyiben az OpenSSL 
csomag telepítve van, 

e  IPv6-támogatás, 

e megosztható levelező könyvtárak (erről lásd később), 

e . POP3-kiszolgáló (ez igen erősen korlátozott, lásd még 
lentebb). 
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Telepítés csomagkezelővel 

A csomagkezelővel történő telepítést a Debian GNU/Linux 

Woody változatán követjük végig. Figyelem, ez a változat még 

kipróbálás alatt áll! (Bár szerintem már megfelelő üzembizton- 

sággal bír — a szerző.) A szolgáltatások teljes körű használatá- 

hoz a következő csomagok szükségesek: 

courier-base - ez az alapcsomag, okvetlenül szükséges 
telepíteni; 

courier-imap - az IMAP-démon; 

courier-l1dap - csak akkor telepítsük, ha LDAP-alapú 
azonosítást szeretnénk; 

courier-authmysa1 — MySOL-alapú azonosítást tesz lehetővé; 

courier-pop - a Courier POP3-démona; 

courier-ss1 - ha a kiszolgáló és az ügyfélgépek között titkosí- 
tott adatátvitelt szeretnénk, ezt a csomagot is telepítsük; 

courier-imap-ss1 - az IMAP-démon titkosított adatcsa- 
tornán közvetítő változata; 

courier-pop-ss1 - a POP3-démon SSL-en keresztül 
kommunikáló változata. 

A telepítés legegyszerűbb módja, ha kiadjuk az alábbi parancsot: 

apt-get install courier-base courier-imap 

scourier-ldap courier-authmysgl courier-ssl 

scourier-imap-ssl courier-pop courier-pop-ssl 

Ez minden Courier-csomagot feltesz számunkra, és amennyi- 

ben nem lennének fent, az SSL-hez szükséges OpenSSL 

csomagokat is. 


Telepítés forráskódból 

A legújabb forráskódot a 3 http://www.courier-mta.org/ 
download.php"imap címről tölthetjük le. A jelenlegi csomag 
a courier-imap-1.3.11.tar.gz. Figyelem, hiába szoktuk 
meg, a tömörített állományt most nem a /usr/local/src alá kell 
kibontani, egy egyszerű felhasználó könyvtárába csomagoljuk 
ki. A Courier ugyanis megköveteli, hogy a configure 
parancsfájlt és a make parancsot ne rendszergazdai jogokkal 
hajtsuk végre: 


ago(obp:- [7/]$ tar xvíz courier-imap-1.3.11.tar.gz 
courier-imap-1.3.11/ 
courier-imap-1.3.11/Makefile.in 
courier-imap-1.3.11/README 
courier-imap-1.3.1[ AUTHORS 


courier-imap-1.3.11/imap/FAO.html 
courier-imap-1.3.11/rpm. release 
courier-imap-1.3.11/courier-imap.spec 


Majd ellenőrizzük a következőket: 

e . Rendelkezünk-e C-t -4-fordítóval, ugyanis a program 
néhány részét ezen a nyelven írták, eltérően a kiszolgáló 
programoknál szokásos C nyelvtől. 

e Ne használjuk a gcc 3-as változatát, mert nem tudjuk vele 
lefordítani a forráskódot. 

e . A GDBM- vagy a DB-csomagot rendszereden elérhetővé 
kell tenni. Ezek általában telepítve vannak a rendszeren, 
de a fordításukhoz header és include fájlok sokaságára 
is szükségünk lesz. Ha tehát a DB-csomagot csomagkezelő- 
vel telepítettük a rendszerre, tegyük fel a dev vagy devel 
végződésű csomagokat is. Debian-rendszeren ezek 
libgdbmg1-dev és libdbx-dev néven találhatók meg. 
Az x a változatszámot jelöli, a legutolsó a hármas. Mivel 
a kód C-t 4-részeket is tartalmaz, a Llibdb3--- csomag 
telepítésére is szükségünk lesz. 
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e — lelepítsük az OpenSSL csomagjait. A libssl0.9.6 a binárisok- 
hoz, a libssI-dev pedig az include és header fájlokhoz 
szükséges, ha a kiszolgáló SSL-képességeit szeretnénk hasz- 
nálni. Amennyiben a titkosított kapcsolaton történő leve- 
lezésre nem tartunk igényt, szükségtelen a telepítésük. 

e . Az LDAP- és a MySOL-azonosítás alkalmazásához szintén 
kellenek majd a hozzájuk tartozó fejlesztői csomagok. 
Figyelem, a Courier-IMAP az OpenLDAP 2-es változatával 
nem tud együttműködni! Erre a célra használjuk a kiszol- 
gáló 1.2.11-es változatát. 


Ha minden készen áll, lépjünk át a forrás könyvtárába, és 
adjuk ki a következő parancsot: 

agoobp:-[9]$ ./configure -help 

Ez a parancs felvilágosítást ad a lehetséges kapcsolók egy 
részéről. A forrás könyvtárában található INSTALL fájl bővebb 
tájékoztatást nyújt, amit mindig nézzünk át, ha új változatot 
telepítünk a rendszerre, mert lehet, hogy további lehetőségek- 
kel bővültek. A fontosabb kapcsolók az alábbiak: 
-:enable-unicode 

Hatására a Courier nemcsak a nyugat-európai országok 
betűkészletével íródott üzenetek között tud keresni, hanem 

az összes általa ismert karakterkészletet felhasználja. Ha nem 
kívánjuk az összes nyelvet támogatni, külön is megadhatók 
azok a készletek, amelyeket használni szeretnénk, például 
-senaole-ünicodésiíso-8859-1,1580-8859-2, 

Ezzel a nyugat- és a közép-európai karakterkészlet-támogatást 
fogja a kiszolgálóba fordítani. 

--with-db-db 

Ha ezt a kapcsolót használjuk, a Courier az alapértelmezett 
GDBM-könyvtárak helyett a BSD-s DB-könyvtárakat fogja 
használni. 

--without-moduúlnéve 

A modulneve helyére azt az azonosítási modult helyettesítsük 
be, amelyet nem szeretnénk, ha lefordítana — ezzel is csök- 
kenthetjük rendszerünk méretét. 

- -enable-w orkarounds-for-imap-client-bugs 

Ha felhasználóink a Netscape Messengert vagy a StarOffice 
levelezőjét használják, hasznos lehet ez a kapcsoló, mert hibáik 
kiküszöbölésére tartalmaz megoldásokat. A Netscape 6-os vál- 
tozatában található levelező már jól működik, a hibái a 4-es 
sorozatban levőket sem érintik olyan súlyosan, hogy indokolt 
lenne élni e kapcsoló használatával. Felhívnám a figyelmet, 
hogy használata számos jól működő rendszernek csak árt. 
Adjuk ki tehát az alábbi parancsot (ez csak példa): 
./configure --enable-unicode 

Így már az összes karakterkészletet támogatjuk. Ezek nem fog- 
lalnak olyan sok helyet, érdemes a támogatást a programba for- 
dítani. Ne ijedjünk meg, ha a configure parancsállományt 
többször egymás után lefutni látjuk! Mivel a Courier-IMAP tel- 
jesen moduláris, a parancsfájlt az összes modulra végrehajtja. 
Ha minden rendben lefutott, a make parancsot még mindig 
nem rendszergazdaként adjuk ki. Ugyanúgy, mint az előbb, 

a modulok itt is külön fordulnak le bináris állománnyá. 
Amennyiben a következő parancsot kiadjuk, ellenőrizhetjük 

a fordítás sikerességét: 

make check 

Ha lefuttattuk és a rendszer nem jelzett hibát, következhet 

a telepítés. Váltsunk át rendszergazdai jogosultságra: 
agoobp.-[12]$ su - 

Password : 

roott 

Megjegyzés: amennyiben nem szeretnénk a rendszergazdai jel- 





szót kiadni, de bizonyos felhasználóknak jogosultságokat vagy 
akár teljes jogosultságokat akarunk juttatni, használjuk a sudo 
csomagot. Segítségével a jogosultságok finomhangolhatók. 
Adjuk ki az alábbi parancsot: 

roottt make install 

Ekkor az összes segédprogram és súgóoldal a /usr/lib/courier- 
imap könyvtár alá fog kerülni. Ha a /etc/pam.d/ könyvtár létezik, 
a telepítő létrehozza benne a /etc/pam.d/pop3 és /etc/pam.d/imap 
fájlokat. Figyelem, ez felülírja az ott található már létező fájlokat! 
A következő parancs, amit ki kell adnunk (még mindig rend- 
szergazdaként): 

roottt make install-configure 

Ez a beállítófájlokat a /usr/lib/courier-imap/etc könyvtár alá tele- 
píti. Most a beállítások következnek: miután rengeteg létezik, 
és az egészen különleges beállítások akár egy egész újságot is 
kitölthetnének, csak a legalapvetőbb dolgokkal foglalkozunk, 
mert a Courier így is sok szolgáltatást nyújt. 

A program elindításához egy háttérben futó alkalmazást, az 
authdaemondt-t kell elindítanunk, ami úgy működik, mint 
egy proxy. Feladata az azonosítást végző programokkal a 
kapcsolat fenntartása, így a következő lekérdezésnél kevesebb 
erőforrást használ, ezáltal az gyorsabb lesz. Főleg az olyan 
azonosítási típusoknál érdekes ez, mint az SOL, illetve az 
LDAP A következőképpen tudjuk elindítani: 
/usr/lib/courier-imap/libexec/authlib/ 
sauthdaemond start 

Érdemes egy indítófájlba beletenni, abba, amelyet a Courier- 
IMAP indítására használunk. Szemléltetésül azt használjuk fel, 
amelyet a Debian-csomagban találhatunk (ez el is indítja az 
authdaemond-t), természetesen az útvonalak módosításával 
(a parancsfájl a CD-mellékleten is megtalálható). Mi is írhatunk 
nagyon egyszerű parancsfájlt, amely leállítja a kiszolgálót, de 
érdemes ragaszkodni a már jól bevált módszerhez, hogy ne 
találjuk fel még egyszer a spanyolviaszt. 

Az azonosítások közül - rugalmasságának köszönhetően — 

a PAM-ot fogjuk használni. Nyissuk meg a /usr/lib/courier-imap/ 
etc/authdaemonrc fájlt és ellenőrizzük, hogy a következők 
szerepelnek-e benne: 

authmodulelist-"authpam authcustom authcram 
sauthuserdb authshadow authpwd" 
authmodulelistorig-"authcustom authcram 
sauthuserdb authshadow authpwd" 

daemons-5 
authdaemonvar-/usr/lib/courier-imap/var/ 

5 authdaemon 

Ebből az első a legfontosabb, mert ez adja meg, hogy a kiszol- 
gáló az azonosítási módszereket milyen sorrendben próbálja ki. 
Ha egy modult kiveszünk a listából, az érvénytelen. Fontos 
tehát, hogy legelöl a authpam álljon. A daemons az egyszerre 
futó démonok számát adja meg. Amennyiben a kiszolgálás 
sebessége lelassulna, növeljük a démonok számát. A többi sort 
lehetőleg ne módosítsuk. 

Ezt követően a /etc/pam.d/imap fájlt szerkesztjük, melynek 

a következőképpen kell kinéznie: 


auth reguired pam unix auth.so 
account reguired pam ünix acct. so 
password reguired pam unix passwd.so 
session reguired pam unix session.so 


A POP3-kiszolgáló használatához a /etc/pam.d/pop3 szükséges, 
tartalma teljesen megegyezik az előzővel. Vigyázzunk: a PAM- 
modulok nevei terjesztésenként változók lehetnek, azonban 
elég könnyű rájönni, melyik is pontosan. 

A kiszolgálót a következő paranccsal tudjuk elindítani: 
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/usr/1lib/courier-imap/libexec/imapd.rc start 
Leállítására az alábbi utasítás szolgál: 
/usr/lib/courier-imap/libexec/imapd.rc stop 
Könnyedén készíthetünk tehát saját parancsfájlt (bár még 
mindig a módosított útvonalakkal elkészítettet ajánlom). 

A parancsfájl neve courter.start legyen, lelőhelye a /etc/init.d 
könyvtár, a tartalma pedig: 

H!/bin/zeh 

echo -n Courier-IMAP inditasa: 
/usr/1lib/courier-imap/libexec/imapd.rc start 
echo 

echő -ü Courier-POP3 indítása: 
/usr/lib/courier-imap/libexec/pop3d.rc start 
echo 

Ez semmilyen ellenőrzést nem végez, de elindítja az IMAP- és 
POP3-kiszolgálókat. Figyelem, nagyon fontos tudnunk, hogy 

a POP3-kiszolgáló a két protokoll különbözősége miatt csak 

az Inboxot, vagyis az alapértelmezett tárolóhelyet látja. Sokszor 
nehéz a felhasználóknak elmagyarázni, miért is van így, de 
tapasztalatom szerint, ha nem is szeretik, de elfogadják a tényt. 
A következő szolgáltatások leállításához pedig az alábbit 
használjuk: 

$.7binzséh 

echo -n Courier-IMAP leallitasa: 
/usr/lib/courier-imap/libexec/imapd.rc stop 
echo 

echo -n Courier-POPB3 leállítása: 
/usr/lib/courier-imap/libexec/pop3d.rc stop 
echo 

Adjuk neki a courier.stop nevet és szintén a /etc/init.d alá 
mentsük, majd készítsünk egy hivatkozást az alapértelmezett 
futási szintnek megfelelő könyvtárba. Debian-rendszer 
használatát feltételezve a következő parancsokat adjuk ki: 

In -s /etc/init.d/courier.start 
/etc/rc2.d/S2ZOcourier 

In -s /etc/init.d/courier.stop /etc/rc1.d/K20courier 
In -s /etc/init.d/courier.stop /etc/rc6.d/K20courier 
In -s /etc/init.d/courier.stop /etc/rco.d/K20courier 
Az első sor minden induláskor elindítja majd a szolgáltatást, 

a többi pedig leállítja azokon a futási szinteken, amelyek sorrend- 
ben a következők: hálózat nélküli futás, újraindulás, leállás. 
Egyetlen dolog maradt még hátra, annak beállítása, hogy 
milyen címekről engedje a kapcsolatokat, hány kapcsolatot 
engedjen stb. A fájl lelőhelye a /usr/lib/courter-imap/etc/imapd. 
Tartalma itt már az eddigiekkel kitöltve szerepel. 

Ha elkészültünk, használatba is vehetjük új IMAP-kiszolgá- 
lónkat. A Courier-IMAP kitűnően együttműködik a Maildirt 
támogató kiszolgálókkal, tehát a Postfix, az Exim vagy a Omail 
hármassal, illetve a saját kiszolgálójával. 


Deim Ágoston (lagoolsc.hu) 

Kedveli a sört, szereti a futást és Imádja 
Szabó Lőrinc verseit. Nem hisz vakon egyik 
rendszerben sem. Vonzódik a BSD-hez Is. 
Tagja az LME-nek és a MBE-nek. Mottója: 
a gép nem lehet fontosabb az embernél. 
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0 Kiskapu Kft. Minden jog fenntartva 
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PoV-Ray ismeretek 44. rész) 





Elérkezett az ideje, hogy elsajátítsuk a különféle anyagok létrehozásának az alapjait, 
majd Ismereteink birtokában bonyolult felületi mintázatokat hozzunk létre. 


PoV-Rayben erre számos lehetőségünk nyílik: az előre 
AA meghatározott anyagok körétől kezdve a saját ma- 
gunk által készített anyagokig, amelyeket többféle 
mintázattal is elláthatunk, sőt, ezeket még különféle átlátszó- 
sággal is használhatjuk. 
A korábbi példák alapján ismeretes, hogy egy tárgy anyagát 
a texture kulcsszóval határozhatjuk meg, melynek általános 
formája az 1. listán látható. 
Ezáltal az anyag három legfontosabb tulajdonságát adjuk meg. 
Elsőként a pigment kulcsszó beírásával az anyag színét közöl- 
jük a PoV-Rayjel, és az esetleges a színváltozásról, vagyis 
a mintázatról is tájékoztatjuk. A második fő tulajdonság a 
normal kulcsszóval meghatározott felületi érdesség, amely 
a tárgy felületén kiemelkedések és horpadások formájában 
jelentkezik. A harmadik jellemző, a finish kulcsszó szolgál 
a fényesség és fényvisszaverő képesség meghatározására. 
Foglalkozzunk részletekbe menően a mintázat színének meg- 
határozását segítő lehetőségekkel! Az anyag színét mindenkép- 
pen érdemes megadni, amit a következő módon tehetünk meg: 
pigment í( 
color rgb -V R S, Z LD, K K: 
! 


vagy 
pigment í( 
colór rgbt £V R S; 2 LD, K.K, TL TSZ SE Gz 


vagy 
pigment í( 
color rgbf -V R S, Z LD, KK, FILTER RI K: 


Ezzel egyszerű színeket határoztunk meg, amelyeket az rgb 
helyett megadott rgbt kulcsszóval és egy negyedik vektorér- 
ték begépelésével akár átlátszóvá is varázsolhatunk. Ilyenkor 
a fenti listán látható PoV-forrásunkban az utasítás második 
formáját kell használnunk. Ha a listában szereplő harmadik 
formát alkalmazzuk, atágyavV R S, Z LD, K K színekkel leírt 
színszűrőként fog viselkedni. 
lermészetesen a színezetek nem csak egyszerű színt tartalmaz- 
hatnak: számos matematikai kifejezéssel létrehozható minta 
található a PoV-Rayben, melyek közül tekintsünk át néhányat. 
A legegyszerűbb mintázat a color map nevet kapta és jellem- 
zően színátmenetek meghatározására alkalmas. A következő 
listán formailag helyes meghatározása szerepel: 
pigment í( 
gradient x 
color map ( 
I MAGASS"G 0 color SZÍN 0 ) 
I MAGASS "G 1 color SZÍN 1 ) 


[I MAGASS"G N color SZÍNN ]) 
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7. lista A ,texture" kulcsszó általános formája 


texture ( 
pigment í( 


2. lista A checkepkülesszöralkalmazaása 


HAnceludéellgol ors . 196 
HINelüde" Wwoocds . incő 
HANA cttHee "stones . ame 


pigment í( 
checker Red, Blue 
] 


pigment í( 
checker ( 
pigment (í Jade ) , 
pigment ( Black Marble ) 


] 


texture ( 
checker ( 
textüre d T Wood 3A. j 
texture ( Stone2 ) 


A színátmenet típusa függőleges irányú is lehet, ekkor a 
gradient xhelyettgradient y kulcsszót kell használnunk. 
A listában szereplő MAGASS"G 0. ..MAGASS "G N értékek 
adják meg, hogy az egyes színek miként oszlanak meg egy 
egységnyi magasságú kockára vetítve. Ha például az átmene- 
ten három színt szeretnénk elhelyezni, de úgy, hogy egyenlő 
arányban foglaljanak helyet, a három MAGASS G-örtök 

a következőképpen alakul: 

MAGASS G 0-0O,33, MAGASS G 1-0,66, MAGASS G 2-1 





A létrehozott színátmenetet a későbbiek 
folyamán a már megismert átalakulást 
előidéző utasítások segítségével elfor- 
gathatjuk és átméretezhetjük, melyeket 
még a texture kulcsszót lezáró " ) " 
karakter elé kell elhelyeznünk. Az átala- 
kítási lehetőségeknek köszönhetően azt 
is megvalósíthatjuk, hogy egy vízszintes 
színátmenetet határozzunk meg és 
90 fokkal elfordítsuk. Ez kitűnően helyet- 
tesítheti a függőleges színátmenetet, 
ezáltal jól szemlélteti a sokrétű PoV-Ray 
szolgáltatások és az alkotó emberi elme 
együttműködését. 
A következő kiemelt mintázat a bozo 
nevet kapta. A tárgyon finom zajszerű 
mintát hoz létre, amelyet füst és felhők 
létrehozására használhatunk. A PoV-Ray 
előre elkészített felhőmintái közül a 
legtöbbet szintén e mintázat segítségével 
alkottak meg, ezeket a skies.inc fájl tartal- 
mazza. A szóban forgó mintázatokat 
leginkább úgy képzelhetjük el, mintha 
egy szobában különleges szemüvegen át 
szemlélnénk a hőmérséklet-eloszlást. 
A szoba egymáshoz közel eső részeiben 
a hőmérséklet nem változik jelentősen, 
de az egymástól távolabb eső részeken 
lassú, véletlenszerű módosulást tapasztal- 
hatunk. Az 1. képen bozo mintázat által létrehozott alkotást 
láthatunk. 
Lássuk a téglafalak létrehozására alkalmas brick-mintázat 
meghatározását és az elkészült téglafalat! 
pigment í( 

brick COLOR 1, COLOR 2 

brick size cVEKTOR: 

mortar VAL § 
] 
A fenti értékeknél meg kell adnunk a téglák és a közöttük lévő 
kötőanyag színét, majd a téglák méretét. A téglák alapértel- 
mezett mérete 8xX3x4,5 egység, a kötőanyag vastagsága — amit 
a mortar kulcsszót követő valós szám ad meg - pedig 0,5 
egység. 
A checker kulcsszóval a 1. kép alján láthatóhoz hasonló min- 
tázatot hozhatunk létre. Kifejezetten sakktáblamintázat létre- 
hozására alkalmas: kétszínű pepitamintát alakíthatunk ki a 
segítségével, mely természetesen egyes négyzeteiben nemcsak 
színeket tartalmazhat, hanem további mintákat és anyagokat is 
(2. lista). Kísérletező kedvű olvasóink számára listáink kínálnak 
útmutatót. Ne feledjük, a példákban olyan előre meghatározott 
anyagokat és színeket használtunk, amelyek megfelelő beillesz- 
tendő fájlokat igényelnek. 
Érdekes padló- és falmintákat varázsolhatunk a crackle 
használatával. Ez a mintázat leginkább egymás mellé helye- 
zett, véletlenszerűen kialakított sokszögek csoportosulására 
hasonlít. A turbulence kulcsszót követő valós számmal a 
mintázatoknak örvényszerű hatást adhatunk, vagy ha helyette 
a scale-átalakítással növeljük az alapminta méretét, kőhöz 
hasonló mintázathoz jutunk, amit falak és padlók készítésére is 
felhasználhatunk. A méretet kicsire állítva kerámiára emlékeztető 
mintázat hozható létre, amit a color map, apigment map 
(amelyet ugyanúgy határozhatunk meg, mint a color map-et, 
azzal a különbséggel, hogy a color helyett a pigment kulcs- 
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T. kép Kis munkával felhő is lehet belőle... 





2. kép Közeli a téglafalról 


. Szaktekintély 


szót, a color map helyett pedig a 
pigment map kifejezést használjuk) és 
a texture map kulcsszavakkal együtt 
használhatunk. Ez szinte végtelen számú 
lehetőséget teremt számunkra a falak és 
padlók mintázatának meghatározásakor, 
továbbá az összes olyan tárgy anyagának 
életre hívása során, amelyeken apró, 
változatos mintákat szeretnénk látni. 
Fémek kialakításakor érhetünk el érdekes 
hatásokat a dents minta segítségével, 
amellyel a felületen fizikai hatások, 
például kalapácsütés nyomait jelenít- 
hetjük meg. Nem használhatjuk azonban 
a felület normálvektorainak módosítására 
(az anyagmeghatározás normal részé- 
ben), mert a felület normálvektorainak 
módosítására különleges eljárást használ. 
Ha azonban a pigment-résznél alkal- 
mazzuk, csaknem ugyanolyan hatást 
érhetünk el vele, mintha a norma1-nál 
adtuk volna meg, vagyis az előbbi 
hátrány nem jelent valódi veszteséget. 

A color map, pigment map és 
texture map módosítókkal együtt 
alkalmazhatjuk. Utóbbit szintén a 

color map-hez hasonlóan adhatjuk 
meg, a különbség csupán annyi, hogy 
nem színeket ad meg a különböző 
magasságokhoz hozzárendelve, hanem kész anyagokat. 

A normálvektorok módosításánál a granite-mintázat alkal- 
mazásával képezhetünk az utakon látható aszfalthoz vagy 
kőhöz hasonló anyagot, mely sziklák vagy öreg kőépítmények 
anyagául is szolgálhat. Ez a minta szintén együtt használható 
color map-pel, pigment map-pel és texture map-pel. 

A leopard-mintázattal kedvenc tárgyainknak megközelítőleg 
kör alakú foltos mintát kölcsönözhetünk (ugyancsak használ- 
ható a color map-pel, apigment map-pel és a 

texture map-pel módosított formában). Érdekes hatásokat 
érhetünk el ezen a ponton a turbulence alkalmazásával, 
mellyel valódi leopárdbundát is modellezhetünk. 

A ripples mintával vízhullámokat készíthetünk. A PoV-Ray 
egy-egy egység oldalú kockában tíz hullámforrást hoz létre, 
ahonnan a freguency-módosítóval meghatározott rezgés- 
számú hullámok indulnak ki. A PoV-Raynek a hullámforrások 
legnagyobb számát a következő sorokkal adhatjuk meg: 
global setting ( number of waves FORR"SOK SZ7MA ) 
A phase-módosító segítségével a későbbiekben bemutatott 
módon hozhatjuk mozgásba a hullámokat, animációt készítve 
pedig további látványos hatásokat teremthetünk. Létezik 

a PoV-Raynek olyan kiegészítése is, amellyel a hullámzó vízfe- 
lületen megcsillanó fénysugarakat is megjeleníthetjük. A kie- 
gészítő csomagot az animáció készítéssel foglalkozó részben 
mutatom be. A hullámzó víz elkészítésénél hasznát vehetjük 

a méretezhetőségnek és az eltolásnak, mellyel a hullámforrások 
egymástól és az objektum határától való távolságát befolyásol- 
hatjuk. A hullámok létrehozásához használatos kulcsszavunkat 
szintén érdemes color map, pigment map és 

texture map alkalmazásával is kipróbálni. 

Lassan a végére érünk a fontosabb mintázatok taglalásának, 
most a spiral11 és a spiral2 tanulmányozásához jutottunk 
el. A spirál első változata szabályosabb, mint a második, de 
mindkettőt a következő formában adhatjuk meg: 
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pigment í( 
spiralli ] spiral2 SPIR"LKAROK SZ7MA 


A spirálokat szintén használhatjuk color map-pel, 

pigment map-pel és texture map-pel együtt. 

Az utolsó mintázat, amit még be szeretnék mutatni, a wrinkle 
nevet kapta és leginkább a gránithoz hasonlítható, azzal 

a különbséggel, hogy az átmenetei nem annyira finomak, 
inkább élesebbek. A mintázat gyűrött celofán vagy fólia meg- 
jelenítésére használható, viszont nem alkalmazhatjuk normál- 
vektorok módosítására. A color map, pigment map és 

a texture map a wrinkle-lel is kényelmesen együtt 
használható. 





3. kép Szoba szőnyeg nélkül 


A fentebb leírtakban találkozhattunk már a Íreguency és a 
phase kulcsszavakkal, most ezek működését szeretném jobban 
megvilágítani. 

A freguency kulcsszóval határozhatjuk meg a mintázat 
ismétlődésének sűrűségét: ha például ez az érték 2, a mintát 
alkotó színek (mind a festékszemcsék, mind az anyagok, ha 

a pigment map-pel vagy a texture map-pel használjuk) két- 
szer fognak megjelenni ugyanakkora távolságon belül, mint amit 
az 1-es rezgésszámértéknél láthatunk. A phase kulcsszó hasz- 
nálatakor a színek eltolását határozzuk meg, ami szintén fel- 
használható festékszemcsék és anyagok eltolásáras. Hasz- 
nunkra válik, ha nagyon szép átmenetet készítettünk, viszont 
használatba vételekor azt látjuk, hogy a tárgyon rossz helyen 
kezdődik a választott szín. Ilyenkor a színátmenetet alkotó 
összes színt átrendezhetjük, de elegánsabb megoldás, ha a 
kezdő állapotot változtatjuk meg a phase kulcsszó és a megfe- 
lelő eltolási érték megválasztásával. lermészetesen, ahogyan 

a fentiekben már utaltam rá, e parancs segítségével animált 
anyagok és mintázatok is készíthetők. Ez a két kulcsszó 

a következő mintázatokkal együtt nem használható: checker, 
brick, hexagon, image map, bump map, material map, 
valamint a következő normálvektor-módosítókkal sem: bumps, 
dents, guilted, wrinkles, hiszen ez esetben értelmetlen 
rezgésszámról és fáziseltérésről beszélni. 

Végezetül szeretném még bemutatni a már oly sokat emlege- 
tett turbulence utasítás értelmét és használatát. Segítsé- 
gével örvényszerű hatást adhatunk a mintázathoz, vagyis egy 
kis ,szabálytalanságot" vihetünk a művünkbe. A következő 
formában használhatjuk, de nem minden értékét kötelező 
meghatározni: 

pigment í( 
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turbúlencé 2VEKTOR s 
öotave VÁR.S 
omega VAL § 
lambda VAL § 
] 
A VEKTOR-ral határozzuk meg, hogy az egyes tengelyek 
mentén milyen erős hatást szeretnénk elérni, míg az octave 
(értéke 1-10-ig terjedhet) adja meg, hogy a PoV-Ray a rende- 
zetlenséget hány lépésből számítsa ki. A kisebb értékek gyor- 
sabb számolást és ezzel együtt kevésbé részletes mintát ered- 
ményeznek, míg a nagyobb értékek használatával lassabban 
készül el a képünk, viszont a mintázat változása finomabb lesz. 
Ennek az értéknek az alapértelmezése 6, amely kellőképpen 
nagy érték. A lambda értékkel adjuk meg, hogy a véletlen- 
szerű elmozdulás mekkora legyen az egyes lépések között. 
Nagyobb értékeknél a kapott mintázatban nagyobb összefüggő 
örvények keletkeznek, míg kisebb értéket használva a mintázat 
rendezetlenebbnek tűnik. Az omega kulcsszóval határozzuk 
meg, hogy a változás a pillanatnyi számítási lépésnél az előző 
oktávhoz képest milyen mértékű legyen. Alapértelmezésben 
ennek értéke 0,5, vagyis az előző lépésnél számítottakhoz 
képest az örvényszerű mintaváltozás a pillanatnyi lépésben 
a felére zsugorodik. Minél nagyobb ez az érték, annál gyorsab- 
ban csökken a változás mértéke. Végül meg kell említenem az 
image map mintázatot, amellyel tetszőleges képet feszíthe- 
tünk a tárgyak felületére. Megadásának módja a következő: 
image map ( 
F JLT PUS "fXjlngv.kit" 
M DOSÍT K 
] 
A F"JLT"PUS gif, tga, iff, ppm, pgm, png lehet. A módosítók 
közül pedig az egyik legfontosabb a map type, amellyel 
a feszítés módját határozzuk meg. Ez a következő értékeket 
veheti fel: 0 (síkszerű), 1 (gömbszerű), 2 (hengeres vetítés), 
5 (vetítés tóruszfelületre). A 3-as és a 4-es érték még fenntartott, 
a jelenlegi PoV-Ray változatban nincs hatásuk. 
A másik kiemelendő módosító az once - segítségével megaka- 
dályozhatjuk, hogy a kép egymás mellett többször jelenjen meg. 
A mintázatok bemutatásának végére érve el kell mondanom, 
hogy azok a mintázatok, amelyeknél külön nem jeleztem, hogy 
alkalmazhatatlanok normálvektorok módosítására, a következő 
formában is használhatók: 
texture ( 
normal ( 
VALAMILYEN MINTA 


! 
j 
Ezzel elérhetjük, hogy a tárgy felszínén nemcsak a színek és 
anyagok változnak, hanem a felület érdessége is. 
A fentiek alkalmazására jó példát láthatunk a 3. képen, melynek 
forrását a CD-melléklet is tartalmazza. 
lovábbi jó ötleteket és könnyű alkotást kívánok! 


Fábián Zoltán 

(dzoolkofreemail.hu, dzoolkoyahoo.com) 

23 éves, jelenleg programozóként dolgozik. 
Szabadidejében szívesen kirándul, túrázik. 
Emellett szeret rajzolni, érdekli a 3D grafika és 
a Linuxszal kapcsolatban minden olyan program 
és programnyelv, amit még nem Ismer vagy nem próbált kt. 











KMLC 


Reuven az XMLC-vel, az Enhydra alkalmazáskiszolgáló egyik 


elemével Ismertet meg bennünket. 





z utóbbi pár hónapban több módszert is megvizsgál- 
AA tunk azzal kapcsolatban, hogyan lehetséges kiszol- 

gálóoldali Java segítségével webalkalmazásokat készí- 
teni. Egyszerű servletekkel kezdtünk, végül eljutottunk a 
JavaServer Pages-hez (]JSP). Hogy JSP-nkből eltávolíthassuk 
a Java-kódot, nekiálltunk JavaBeanst használni, azokat a külön- 
leges objektumokat, melyek metódusai lapunkról automatiku- 
san elérhetők lesznek. 
Csak addig foglalkoztunk a JavaBeansszel, míg a testreszabott 
események elő nem kerültek (lásd Linuxvilág, 2001. augusztus, 
67—70. oldal). Ezek — JSP-nkben XML -tagoknak és értékeknek 
álcázott események - egy-egy Java-osztály eljárásaihoz vannak 
kötve. Más szavakkal tagokat helyezve a JSP-be hatékonyan 
hívhatunk meg egy vagy több eljárást. A testreszabott tagok 
és a babok együttes használatával jókora adag Java-kódot távo- 
líthatunk el JSP-programjainkból. 
Mire jutottunk? Mint augusztusban láthattuk, a testreszabott 
eljárások okos használatával saját kis mininyelvet hozhatunk 
létre ciklusokkal, feltételekkel és változókkal. Saját tagok írásá- 
val mentesíthetjük a grafikus tervezőket a Java-használat alól, 
és jobban elkülöníthetjük a formát és a tartalmat. Gondjaink 
megoldásához azonban még ez sem elegendő. 
Jó megoldás lehet az Enhydra alkalmazáskiszolgáló, amelyről 
az előző hónapban írtam (szeptemberi Linuxvilág 64. oldal). Az 
XMLC (vagy XML-fordító) az XML -fájlokat (ideértve a HIML- 
és XHIML-állományokat is) Java-objektumokká alakítja. Ha az 
ezekhez az objektumokhoz tartozó eljárásokat hívjuk meg, az 
éppen készülő HIML-t meg tudjuk változtatni. 


AML és XATML 


Az XML - mint azt valószínűleg mindannyian tudjuk - egy 
bővíthető jelölőnyelv (markup language). Ami évekkel ezelőtt 
még egyszerű kis szabványnak indult, mára már hatalmas 
szabvány- és ajánlott szabványgyűjteménnyé nőtte ki magát. 
Az XML magja azonban mindvégig azonos maradt, így az 
emberek megegyező formai követelmények alapján készíthetik 
el a saját jelölőnyelvüket. Az XML nem közvetlen használatra 
készült; célja, hogy segítségével ki-ki a saját nyelvét készíthesse 
el. Mivel ezek a nyelvek mind XML -alapúak, jól érthető felépí- 
tésük van, amit minden XML-értelmező elfogad. Ráadásul, ha 
nyelvünkhöz adattípus-meghatározást is készítünk (DTD), az 
értelmező ellenőrizheti, hogy az elemek és értékek megfelelő 
formátumban vannak-e. 

A HTML és az XML egyaránt a World Wide Web Konzorcium 
(W30C) szabványa, igen hasonló szerkezettel rendelkeznek, és 
gyakran veszik őket egy kalap alá. A valóság azonban az, hogy 
míg a HIML csak egy jelölőnyelv a sok közül, az XML saját 
jelölőnyelv megalkotására nyújt lehetőséget. Még jellemzőbb, 
hogy a HIML sokkal lazább felépítéssel rendelkezik, mint az 
XML, amit nem kis mértékben történelmi tényezőknek köszön- 
het. A következő kifejezés például helyes HIML-parancs: 
zima ére-"főo . bnd" s, 

Ezzel szemben az XML-alapú nyelvekben minden tagot szigo- 
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rúan le kell zárnunk, 
ezért egy XML-doku- 
mentumban az említett 
példa nem lenne szabályos. Helyesen a következőt kellene 
írnunk: cimg src-"foo.png! / 5. 

Hogy a HIML és az XML közti szakadékot áthidalja, a W3C 
egy XHTML-nek nevezett ajánlást adott ki, mely tulajdon- 
képpen a HIML XML -átirata. Az XHIML használatának 
meglehetősen sok előnye létezik, melyek közül a legnagyobb 
talán, hogy HIML-dokumentumainkkal az összes XML-eszköz 
dolgozni tud. 

lermészetesen ez egyben azt is jelenti, hogy XHIML-doku- 
mentumaink kicsit formálisabban fognak kinézni, mint a 
korábban megszokott HIML. Míg a HIML megengedi, hogy 
hanyagok legyünk, és mindössze egy cP:-vel válasszuk el 

a bekezdéseket, az XHTML sokkal szigorúbb: a bekezdéseket 
kötelező cP:-vel kezdeni és c/P:-vel befejezni. Az értékeknek 
kötelezően macskakörmök közé kell kerülniük, amit sokan fi- 
gyelmen kívül hagynak, amikor egyszerű HTML-ben dolgoznak. 
Bár a XHIML néha sok gondot okozhat az embernek, a progra- 
mok terhelését nagymértékben csökkenti - felépítésüket ugyanis 
szabályosabbá teszi, így könnyebb lesz írni és olvasni őket. 

A legnagyobb előny azonban mégis az a tény, hogy az XHIML- 
dokumentumokat XML-dokumentumnak minősíthetjük. 


A DOM 


Az XML-dokumentum egy faszerkezet, mely tény ismerősen 
csenghet azok számára, akik főiskolán tanultak számítástech- 
nikát. A fákkal való munka elméletben figyelemreméltóan 
könnyű, a gyakorlatban viszont az alkalmazott csatolófelülettől 
függően időnként trükkösnek bizonyulhat. 

Két népszetű felületfüggetlen API létezik az XML-hez: a SAX 
(Simple API for XML) programot úgy tervezték, hogy XML- 
adatfolyamokkal tudjon dolgozni, ezáltal kicsi és hatékony 
maradt. A DOM (Document Object Model) vele ellentétben 

a felhasználót egyszerre engedi hozzáférni a teljes dokumen- 
tumfához, miáltal lehetővé válik, hogy lerövidítsünk vagy 
megváltoztassunk csomópontokat, beleértve az új csomópon- 
tok felvételét és törlését is. Emellett ez azt is jelenti, hogy a 
teljes dokumentumot a memóriába kell tölteni, mielőtt a DOM 
segítségével dolgozni kezdhetnénk rajta. Ezek a képességek 

a SAX-nál hatékonyabbá, ám egyszersmind lassabbá és erőfor- 
rás-igényesebbé is teszik. 

Az XMLC XML -fájlokat, rendszerint HIML-ben vagy XHIML- 
ben írt állományokat alakít át olyan Java-osztályokká, amelyek 
a DOM-tát létrehozzák, illetve módosítják. A megszokott 
DOM-eljárásokat használhatjuk csomópontok hozzáadására, 
törlésére és módosítására, megváltoztatva az éppen kimenetre 
kerülő dokumentumot. 

Az XMLC igazán nagy ötlete a HIML "id"-értékek haszná- 
lata. Amikor az XMLC fordító egy id-értéket talál, készít egy 
eljárást, melynek segítségével lekérdezhetjük, illetve módosít- 
hatjuk az adott értékben található szöveget. A laptervezők 
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tehát HIML-ben dolgozhatnak, és az egyes dinamikus szöveg- 
mezőket egyedi címkékkel jelölik meg. Amikor a tervezők 
elkészítették az eredeti HIML-lap vázlatát, egy Java-osztállyá 
fordítják le (xm1lc-t használva). A fejlesztők ezután olyan 
servleteket készíthetnek, amelyek létrehozzák ezt az osztályt, 
az eljárások segítségével dinamikusan létrehozott tartalommal 
helyettesíthetik a vázlatszöveg mezőit, és a dokumentumot 

a felhasználó böngészőjére küldhetik ki. 

Az alapötlet az, hogy a tervezőknek nem kell vegyesen szöve- 
ges és HIML formátumon dolgozniuk, hanem egyszerűen csak 
a végleges kimenet vázlatát készítik el. Amíg az id-értékek 
nem változnak meg, a HIML-tájl és a servlet fejlesztése párhu- 
zamosan is folyhat, és sem a tervezőknek, sem a fejlesztőknek 
nem kell a társaikra várniuk. 


Az Enhydra telepítése 

Amint azt fentebb említettem, az xm1c az Enhydra-alkalmazás 
kiszolgálórésze. A 3.x-változatú Enhydra már termelésre alkal- 
masnak mondható, és tartalmaz egy xm1c-t, amelyet a legtöbb 
felhasználó több mint megfelelőnek fog találni. Mivel engem 
az Enhydrában most leginkább az érdekelt, miképpen tudnám 
az Enterprise JavaBeanshez (EJB) felhasználni, a 4.x próbavál- 
tozattal dolgoztam, más néven az Enhydra Enterprise-változat- 
tal. [dőközben valószínűleg az Enhydra Enterprise végső 
kiadása is elérhető, melyben a webfejlesztők egy nyílt forrású, 
termelési minőségű, J2EE-megfelelő alkalmazáskiszolgálóhoz 
juthatnak (még mindig nem jelent meg - a szerk.). 

Az xmlc-vel való munkához letöltöttem az Enhydra Enterprise 
próbaváltozatot egy 15,7 MB méretű enhydra4.0.tar.gz nevű fájl 
képében. Utóbbit megnyitva gazdag könyvtárkészletet, alkal- 
mazásokat, és leírást találunk az Enhydra alkalmazáskiszolgá- 
lóhoz, melyről előző számunkban már írtunk. Ezek nagy részét 
most figyelmen kívül fogjuk hagyni, és kizárólag az XMLC-re 
összpontosítunk. 

Csaknem a teljes Enhydra héjprogramból hívott Java-osztá- 
lyokból áll. Annak érdekében, hogy a héjprogramok megtalál- 
ják a Java-osztályokat, be kell őket állítani az adott telepítéshez, 
amit könnyen megtehetünk, ha belépünk az Enhydra könyv- 
tárba (az én rendszeremen enhydra4.0) majd lefuttatjuk a 
configure parancsfájlt: 


./configure /usr/java/jdki.3 


A configure alapesetben egyetlen értéket vár: JDK 1.3 tele- 
pítésünk könyvtárának a teljes nevét. Bár az Enhydra korábbi 
változatai (különösen a korábbi Enhydra Enterprise-ok) nem 
működnek JDK 1.3 alatt, a jelenlegi változatok csak és kizárólag 
ezzel dolgoznak. Mivel a JDK 1.3 számos előnyös tulajdonság- 
gal rendelkezik, és a Sun támogatja a linuxos változatot, nem 
rossz ötlet feltelepíteni. 

Ha az Enhydrát a /usr/local/lenhydra könyvtáron kívüli helyre 
telepítettük, előfordulhat, hogy az ENHYDRA környezeti válto- 
zót be kell állítanunk a telepítés könyvtárára. 

Az XMLC teljes kihasználásához három különféle .JAR-fájlt kell 
CLASSPATH-unkba helyezni. Mivel a cikk további részeiben az 
xmlc használatán lesz a hangsúly, nem árt, ha most rögtön 
hozzáadjuk őket a bash formai követelményeit használva: 


export CLASSPATH-SENHYDRA/lib/xmlc.jar:N 
SENHYDRA/ lib/enhydra.jar:N 
SENHYDRA/1ib/xmlc-support.jar 


A hozzám hasonlók bizonyára az Enhydrához kapcsolódókon 
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kívül még számos elemet is a CLASSPATH változóban szeret- 
nének tárolni. Nézzük meg, hogyan állítottam be én a 
CLASSPATH változómat! 


export CLASSPATH-SENHYDRA/lib/xmlc.jar:N 
SENHYDRA/ lib/enhydra.jar:N 

SENHYDRA/ 1lib/xmlc-support.jar:N 

STOMCAT HOME/classesz:N 

STOMCAT HOME/lib/servlet.jar:N 
/usr/share/pgsagl/jdbc7.1-1.2.jar 


Figyeljük meg, hogy rendszeremen az Enhydra .JAR-fájljai 

a többiek elé helyeztem, így elkerülhettem az ütközés miatt 
felbukkanó gondokat. Mivel néhány osztályból az Enhydra 
már a legújabb változattal rendelkezik, például amelyek 

a DOM-mal dolgoznak, ezeknek elöl kell lenniük. 
Megjegyzem, az XMLC-vel való munka nem minden szaka- 
szában szükséges az Enhydra mindhárom .JAR-állománya. 

Én azonban úgy gondoltam, kényelmesebb az összes lépésben 
mindet hozzáadni, így a későbbiekben elkerülhetem a kelle- 
metlen meglepetéseket. 


Egyszerű HTML-állomány 
Most, hogy már minden, az xmlc-hez szükséges dolgot 
feltelepítettünk, próbáljuk is ki egy egyszerű HIML-fájlon: 


cahtml: 
-heads-ztitle:This is a title-c/titles-/heads 


cbodyz: 
-ch1:-This is a headline.c/h1l: 
cp id-"firstpara":1his is a 
paragraph. c/p: 
zíimg srasíttóo gitt/s 
cp:rIhis is a second paragraph.c/p: 
c/bodyz 
c/htmils 


Bár az xmlc egyszerű HIML-fájlokkal is éppen olyan jól dol- 
gozik, az XHIML használata jobb ötlet, ugyanis megakadá- 
lyozza, hogy olyan fájlokat készítsünk, amiket a DOM nem 
tud megjeleníteni. Az XML például tiltja az áttedő tagokat: 
z2iscp:s:Wowc/i:s, he thought.c/p: 

A fenti sor HIML-ben még éppen elfogadható, de tilos az 
XML-ben és az XHTML-ben. Így — bár a böngésző ezzel a 
HITML-sorral még valahogy elboldogul és értelmezni is képes — 
az xmlc figyelmeztetést fog küldeni arról, hogy eldobott egy 
használhatatlannak minősített bezáró tagot. Az xm1lc gyakran 
fog figyelmeztetni, ha a HIML nem helyesen van megfor- 
mázva, ezzel segítve a lehetséges hibák felderítését. Bár egy- 
szerű HIML-ek írásakor nemigen kell a dokumentumunk 
szerkezetével foglalkoznunk, a módosítások, amelyeket az 
xmlc segítségével végre szeretnénk hajtani, a dokumentumok 
kiírási szabályainak világos ismeretét követelik meg. 

Az előző példa első bekezdését a "firstpara" id-érték 
azonosította. Hamarosan meglátjuk, miképpen tudjuk ezt 

a szöveget Java-programból megváltoztatni, hivatkozási pont- 
ként használva az id-értéket. 

Hogy a dokumentumot Java-osztállyá változtathassuk, meg 
kell hívnunk az xmlc programot. Feltételezve, hogy a fenti 
HTML -tfájlt foo.html-nek neveztük el, írhatjuk be a következőt: 





7. lista. A Prin 
amely módosítj 





SENHYDRA/bin/xmlc -parseinfo -verbose -keep 
foo.html 


Ezáltal a foo.html foo.java Java-forrásfájllá alakul, amelyből 
fordítás után létrejön a foo.class. A -keep érték megtartja 

a foo.java fájlt ahelyett, hogy a foo.class elkészítése fordítás után 
letörölné. Bár szükségtelenek, én a -parseinfo és -verbose 
értékeket is szeretem használni, amikor az xm1lc-vel dolgozom, 
mivel így némi visszajelzést kapok a fordítás menetéről. 

A Java xmlc által készített forráskód meglehetősen hosszú és 
unalmas, bár megjegyzésekkel bőven el van látva. Azok számára, 
akik módosítani szeretnék a foo.html-t, a foo.java legfontosabb 
része agetElementFirstpara ( ) és a setTextFirstpara ( ) 
eljárás. Az első visszaadja a "firstpara" által azonosított 
szöveget, az utóbbi pedig lehetővé teszi, hogy valamilyen 
tetszőleges karaktersorozatra cseréljük le. 

Az 1. lista egy rövid parancssoros Java-osztály (PrintFoo.java) for- 
ráskódját tartalmazza, amely kiírja a , javásított" foo.html-változat 
tartalmát. Mielőtt azonban kiírná, a setTextFirstpara ( ) 


segítségével megváltoztatja a kimenetet: 


myfoo.setTextFirstpara("This has been 
changed! ) ; 


Ezután a változtatás után már megjeleníthetjük a szöveget: 
System. out . print (myfoo. toDpocument ( ) ) ; 
A DOM-fát magunk is átalakíthatjuk, ha kikeressük az adott 


id-vel rendelkező csomópontokat, majd kézzel megváltoztat- 
juk őket. Az xmlc kényelmes eljárásai azonban az ilyen szöve- 
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gek módosítását különlegesen egyszerűvé és magától 
értetődővé teszik. 

Ha most lefuttatjuk a PrintFoo-t, megfigyelhetjük, hogy 
HITML-kimenet az eredeti szóközök nélkül jelenik meg. 

Az eredménydokumentum ugyan nehezebben olvasható 

az emberi szem számára, a böngészőknek azonosnak számít. 

A magam részéről mindig igyekeztem, hogy HIML-dokumen- 
tumaim a könnyebb hibakeresés érdekében szépen formázot- 
tak legyenek, ezért jó néven venném az xm1c-től, ha egy 
-preserve-whitespace (őrizd meg a szóközöket) kapcsolót 
is támogatna. 

Abból, amit eddig láttunk, kiderült, hogy az xmlc-vel egyszerű 
egy teljes bekezdést megváltoztatni, de nehéz módosítani 
egyetlen szót. Az xmlc azonban kihasználja a HIML "span"- 
tag előnyeit, amely elfogadja az id-értéket, és lehetővé teszi, 
hogy azonosítóval lássunk el módosítani kívánt egyedi szava- 
kat, karaktereket vagy képeket, például: 


-2P id-"para":This is a paragraph, 
cspan id-"phrase"sand this is a phrasec/span:. 
€£/Ps 


Miután az xmlc-vel ezt a HIML-t lefordítottuk, a 
SetTextPara ( ) eljárással az egész bekezdés tartalmát 
megváltoztathatjuk, a SetTextPhrase ( ) -zel pedig a 
span-tagok közötti részt módosíthatjuk. 


servletek 

Most már látjuk, miképpen lehet az xm1c-vel parancssorból 
dolgozni, nézzünk meg hát egy servletet is, amely ugyanezt 

a feladatot látja el. A kezdők kedvéért: az egyszerű 
PrintFooServlet egy HTIP-kérelmet fog kapni, eredményül 
pedig a HIML-dokumentumoct fogja visszaadni. 

A 2. lista tartalmazza a foo.html-t megjelenítő servlet kódját. 
Akárcsak parancssoros testvére, "foo" osztályunkból létrehoz 
egy példányt, megváltoztat benne néhány szöveget, végül az 
XML-fa szöveges megjelenését a kimeneti folyamra írja. Ebben 
az esetben a kimeneti folyam éppen a felhasználó böngésző- 
jéhez kerül. A felhasználó így a módosított vázlatot látja, 
anélkül, hogy tudná, két Java-osztály (és az eredeti HIML- 
dokumentun) is részese volt a folyamatnak. 

A servlet működéséhez a foo.class egy másolatát kellett behe- 
lyeznem a Jakarta-Iomcat servletmotor CLASSPATH környezeti 
változója által meghatározott egyik könyvtárba. Úgy döntöt- 
tem, hogy a legfelső szintű $TOMCAT/classes könyvtárba 
teszem. Ha egy termelési osztály lenne, nyilván értelmesebb 
helyre raktam volna, kihasználva a Java egymásra épülő név- 
terét (namespace). Igaz, már az xm1c-t is a csomagok meghatá- 
rozása nélkül futtattam le, ami azt jelenti, hogy a foo.class-t 
mindenképpen a legfelső szintű névtérben kell elhelyezni, 
amihez az il.co.lerner névtérben a -class lehetőséget kellett 
volna használnom: 


SENHYDRA/bin/xmlc -class il.co.lerner.fooN 
-parseinfo -verbose -keep foo.html 


A $TOMCATI/classes-ben található foo.class segítségével 

a PrintFooServlet.java fájlt sikeresen le tudtam fordítani. Immár 
az egyetlen kihívás a servlet végrehajtása, továbbá a megvál- 
tozott HIML-lap megjelenítése maradt. Még egyszer hang- 
súlyozom: meg kellett ugyan változtatnom a CLASSPATH-t, 

de ebben az esetben a megváltoztatandó CLASSPATH a lomcat 
servletmotoré volt, amely számunkra a servleteket végrehajtja. 
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2. lista. PrintkooServlet.java, a PrintFoo.jJava servletváltozata 


xx// PrintFooServlet servletvEltozat 
MOGE EM eMÁ. 10. ?; 

Tjo0e eteva . text . ő 

HSCEP" java .utiláő 

import javax.servlet."; 

import javaáax Servietsistjóttó ő 


// Az EnhydrEval OGrkezi DOM-osztElyok 
// bet Itőse 
1DOTtTOLGg : W3e dom. hetem: 


// "a "foo" ösztély bet  1tőse 
tö Sot est T so Temet et 


public class PrintFooServlet extends 
HttpServlet ( 


public void doGet (HttpServletReguest 
TESUSBE ; 

HttpServletResponse response) 

throws IOException, ServletException 


// a MIME tartalomt pus beXll t£Zsa 
7/sa valászhoz 
response . setContentType ( "text/html!" ) ; 


// a kimeneti folyam beZXll tEsa 
// STDOUT-ra 
PrintWriter out - response.getWritetr ( ) ; 
// a "foo" lapobjektumunk pOldEnyzEnak 
// elkösz tÖse. 

too mMyEGO EI new EO0O() S 


// a "firstpara" bekezdős nk 
// sz vegönek megvEltoztat£Zsa. 
myfoo. setTextFirstpara 

("This has been changed") ; 


// Az eredmöny megjelen tGse 
Ot: printinimytos: topocumene 191 


] 


he 


Megváltoztattam a $TOMCAT/bin/tomcat.sh fájlt, mely mielőtt 
éppen exportálta volna a CLASSPATH-t, hozzá kellett adnom 
a három Enhydra .JAR állományt, majd újraindítanom a 
Tomcatet. Pár pillanattal később böngészőmmel a servletre 
mutatva elégedetten figyelhettem meg képernyőmön az ere- 
deti HIML-fájl megváltoztatott formáját. 


Adatbázisok és az XMLC 


Könnyű belátni, hogyan lehetne a lapot relációs adatbázisból 
származó adatokkal benépesíteni: például itt van egy kicsi 
PostgreSOL-tábla, amelyben az egyes naptári napokhoz tartozó 
mondásokat (saying) tárolhatjuk: 


CREATE TABLE DailySayings ( 
date TIMESTAMP NOT NULL, 
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saying TEXT NOT NULL, 


UNIOUE (date) 


Most szúrjunk be pár mondást a táblánkba: 


INSERT INTO DailySayings(date, 
VALUES (CURRENT DATE, 

"A bird in the hand is w orth two in the 
busn. : ) ; 

INSERT INTO DailySayings(date, 
VALUES (CURRENT DATE-1, 

"A penny saved is a penny earned. : ) ; 
INSERT INTO DailySayings(date, saying) 
VALUES (CURRENT DATE--2, 

-The rain in Spain falls mainly in the 
plain); 


saying) 


saying) 


A mai mondás lekérdezéséhez mindössze a következőre van 
szükségünk: 


SELECT saying 
FROM DailySayings 
WHERE date - CURRENT DATE 


Ha olyan servletet szeretnénk írni, amely megjeleníti a mai 
mondásokat, két osztályra lesz szükségünk: egy mintára, amit 
az Xxmlc-vel készítünk el, (illetve a saying.html-re, amiből 

a saying.class-t fordítjuk), és egy másikra, amely betölti és 
módosítja a mintát (DailySaying.java). XMLC-dokumentu- 
munk és a módosítóosztály fejlesztése közben megegyezünk 
abban, hogy a "saying" id fogja a kettőt összekapcsolni. 


XMLC-dokumentumunk eléggé magától értetődő: 


cahtml: 
cheadscztitle:Today:s sayingc/titles-c/headsz 


cbodyz: 
chi:Today:s sayingc/hl: 


cp:srAnd now, 
saying: 
cspan id-"saying":Saying Goes 
Herec/ span: .c/p: 
c/bodyz 
c/htmils 


as you reguested, today-:-S 


Ezt a HIML-dokumentumot az il.co.lerner.saying Java-osztállyá 
fordítottam le, a móka kedvéért a .java fájlt is megtartva: 


SENHYDRA/bin/xmlc -class il.co.lerner.sayingy 
-parseinfo -verbose -keep saying.html 


Ezután az eredményül kapott saying.class fájlt bemásoltam 
a $TOMCAT HOMEMlclasses/il/co/lerner könyvtárba, ahol 
egyébként a servletekkel kapcsolatos osztályaimat tartom. 
Miután telepítettem a dokumentumot, meg kellett írnom 

a módosítóosztályt, ami végrehajtja a fent bemutatott SOL- 
lekérdezést, letölti az eredményeket és beilleszti a lefordított 
XMLC-dokumentumba. A 3. lista (20. CD-mellékletünkön 
találhatják meg) tartalmazza a servletünkhöz tartozó forrás- 
kódot, amit lefordítás után a lomcat kiszolgáló működő 








Kapcsolódó címek 


Amint már említést nyert, az XMLC a Lutris Enhydra 
alkalmazáskiszolgáló része, amely teljes mértékben 
együttműködő próbál maradni a J2EE-vel. Az Enhydra 4, 
amely nem sokkal e cikk megírása előtt lépett a próba- 
változat állapotába, az Enterprise JavaBeansnek és más 
magas szintű programrendszernek az Enhydrába történő 
bevezetését célozta meg. löbbet Is megtudhatunk az 
Enhydráról, és a 3.x vagy 4.x sorozat legújabb változatait 
tölthetjük le a 3 http:/Avwvw.enhydra.org/ címről. 


Az Enhydráról általánosságban szóló, néhány XMLC-példá- 
val megtűzdelt írás foger Metcal/f-nak az ArsDilgita 
Systems Journalban található cikke, lásd: 

2 http:/Avww.arsdigita.com/asj/enhydray/. 


Ugyancsak kitűnő XMLC-segédanyag található a Weben, 
a 2 http:/Avww.plugged.net.au/publications/xmlc-tutoria[/ 
urls.htmi címen. 


A WS3C (3 http:/Avwwv.w3.org/1 R/2000/REC-xhtml1-20000126/) 
honlapján érhető el az XHIML-t bemutató dokumentumuk, 
amely figyelemre méltóan jól olvasható ismertetés az 
XHIML-ről. Csak azt írja le, ami szabályos (és ami nem). 
Bár meglehet, hogy XML C-alkalmazásainkban nem akarunk 
szigorú XHIML-t használni, azért nem árt, ha megismerjük. 


Az Apache Jakarta-lomcat J$SP és a servletmotorról szóló 
tájékoztató a 5 http://jakarta.apache.org/ címen érhető el. 


Végül két egymást kiegészítő OAer//y-könyv elég iIsme- 
rettel szolgálhat, hogy az XMLC-vel dolgozni kezdjünk. 

A Brett McLaughlin (most a Lutrisnál dolgozik) által írt 
Java and XML" részletesen tárgyalja a DOM-ot, össze- 
hasonlítja a SAX-szal és más XML-értelmező lehetőségek- 
kel. A , Java Servlet Programming" második kiadása Jason 
Hunter-től és William Crawford-tól egy teljes fejezetet 
szentel az XMLC-nek, rögtön a hasonló, de versenytárs- 
ként szereplő kiszolgálóoldali Javát alkalmazó dinamikus 
lapelőállító rendszerek fejezete után. 


servlettárolójába (active servlet context) helyeztem. A lomcat 
és az Apache újraindítása után böngészőmön keresztül már 
hozzá tudtam férni a mai szóláshoz a HIML-dokumentumba 
helyezett SOL-eredmények segítségével. 


Jó megoldás az XMLC? 
Amikor először kezdtem foglalkozni az XMLC-vel, komoly két- 


ségeim voltak a használhatóságával kapcsolatban. Több év 
vegyes sablonon alapuló munka után egyszerűen túl vadnak 
látszott a HIML-fájlok Java-osztállyá változtatása csak azért, 
hogy a DOM segítségével kezelhessük őket. És hát egy DOM- 
értelmezőt elindítani valóban sokkal több erőforrást igényel, 
mint egyszerűen megjeleníteni a fájlt. 

Ahogyan azonban egyre többet dolgoztam már az XMLC-vel, 
fokozatosan felfigyeltem a sablonokkal szembeni előnyeire. 
Az XMLC lényegében rákényszeríti a tervezőket és a fejlesz- 
tőket, hogy megállapodást kössenek, vagy API-leírást alkossa- 
nak dokumentumaik és a program között. Ha egyszer ez az 
API elkészült, nem lehet egykönnyen megváltoztatni, ami nem 
feltétlenül rossz dolog. A legfontosabb, hogy a fejlesztők és 
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a tervezők közötti API üzembiztossága lehetővé teszi számukra 
az egymás tevékenységét szinte egyáltalán nem zavaró párhu- 
zamos munkát. 

Mivel a Java-módosító osztály a lefordított dokumentum 
HIML-tartalmát bármilyen módon meg tudja változtatni, 
könnyen elképzelhetünk egy olyan helyzetet, amelyben egy- 
szerre három osztállyal dolgozik: egy fejlécfájllal, a dokumen- 
tum testével és a láblécfájllal. Az osztályunk ezek után a fejlécet 
a DOM-eljárások segítségével hozzácsatolhatja a dokumentum 
elejéhez, a láblécet pedig a végéhez. Ezzel a módszerrel álta- 
lános formátumot tudunk adni a honlapnak anélkül, hogy 
ugyanazt a szöveget kellene minden fájl elejére másolnunk. 
lermészetesen számos bosszantó részlet is akad a XMLC-vel 
való munka során. Hamar unalmassá válik például, hogy 
minden HIML-fájlhoz servletet kell írni. Igaz, egyetlen serv- 
letet is írhatnánk, amely a fájlnevet egy lekérdezésből kapja 
meg, és tulajdonképpen majdnem úgy működik, mint egy 
XMLC által készített különböző osztályokhoz tartozó doku- 
mentumsablon. Meglehet, hogy egyszerűen csak nem néztem 
át elég tüzetesen az Enhydrát ahhoz, hogy megtaláljam e 
kérdésre a választ, vagy az is lehet, hogy az Enhydra-fejlesztők 
gyorsan hozzászoknak ahhoz, hogy minden megjeleníteni 
kívánt laphoz két Java-osztályt kell készíteniük. Mindenesetre 
ezáltal igen rövid idő alatt óriási számú osztály jöhet létre, még 
kicsi vagy közepes honlap esetén is. 

A legnagyobb gond az XMLC-vel kapcsolatban szerintem 

a magas szintű HIML (és XML - a pontosság kedvéért) módo- 
sító API hiánya. Az XMLC egyik GYK-ja a , Hogyan adhatok 
egy sort egy HIML-táblához?" Egy ilyen, a HIML-ben magától 
értetődő feladat hamar terhessé válhat az XMLC-vel. Először 

is meg kell találni annak a táblának az alját, ahová a sort be sze- 
retnénk szúrni, majd különleges csomópontokat (és értékeket) 
kell hozzáadni a csomóponthoz. Ez igencsak nem-HIML 

, szagú" és rákényszeríti a fejlesztőt, hogy csomópontokban 
gondolkodjon, amikor ő HIML-ben szeretne gondolkodni. 
Annak alapján, hogy az Enhydra egy Java-eljárások segítsé- 
gével történő SOL-lekérdezés szerkesztési lehetőséget tartal- 
maz, úgy gondolom, egy ehhez hasonló HIML-módosító API 
nem lenne túl bonyolult. 


Következtetés 

Az XMLC igen fondorlatos, az Enhydra alkalmazáskiszolgáló 
szívében helyezkedik el. Az XMLC rákényszeríti a fejlesztőket 
(és a tervezőket), hogy mielőtt dolgozni kezdenének, megtervez- 
zék, hogyan fognak együttműködni, majd lehetővé teszi, hogy 
egymástól függetlenül dolgozzanak. Bár az ilyesfajta művelet 
kibillentheti egyensúlyukból a tapasztalt sablonhasználókat, 
hamarabb válik természetessé, mint az ember valaha is gondolná. 
Az igazság az, hogy a Zope ZPT-je is hasonló módszert alkal- 
maz az űrlaptartalom szétválasztására, ami talán a webfejlesztő 
közösség jelenlegi irányvonalát mutatja. A közeljövőben vár- 
hatóan további XMLC-szerű rendszerekkel fogunk találkozni. 
Ha szerencsénk van, lehet, hogy valamiféle szabványosítás is 
lezajlik a minták közt, így a tervezők könnyen mozoghatnának 
a különféle rendszerek között a köztük lévő apró különbségek 
elsajátítása nélkül. 


Reuven M. Lerner 

(reuvenelerner.co. 11) egy kis webes-internetes 
tanácsadó cég tulajdonosa. Feleségével, 
Shirával és lányával, Atara Margalittal a , Jövő 
városában , az izraeli Modlinben él. 

2 http:/Avww.lerner.co.il/atf/ 





2001. október n 


0 Kiskapu Kft. Minden jog fenntartva 


KA 


0 Kiskapu Kft. Minden jog fenntartva 





A Nandrake Linux 8.1 telepítése 


Ebben a rövidke leírásban megpróbálom összefoglalni a Mandrake Linux 8.1-es 
telepítésénél tapasztalt újdonságokat, változásokat és azokat a beállításokat, 


amelyekre figyelni érdemes. 


leírás elsősorban azoknak szól, (TETTETETT TTTTTTTTT al 
h 2 st , 2 mp" a Tt nedt j Ani Ex ej T . 
akik kezdőként próbálkoznak E Ugatagrazták JAN eTUEK EGE] I Tri 


a Linuxszal, vagy a parancssoros 
beállítások mellőzésével szeretnének gyor- 
san, jól működő rendszert létrehozni. 

A telepítést windowsos hálózatban haj- 
tottam végre, ahol ez volt az egyetlen 
Unix-rendszeren alapuló eszköz (néhány 
nyomtatón kívül). A telepítési környezet 
ismeretéhez az is hozzátartozik, hogy a 
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hálózat többi tagja általában Win9x, ritkán 
NT 4.0-s munkaállomás. A hálózat TCP/IP- 
protokollt használ, az ügyfelek DHCP 
útján kapnak IP-címet. A kiszolgálókon 
természetesen szintén Windows NT 4.0 
változat futott, illetve — ha jól tudom — 
most már néhány Windows 2000 is meg- 
található rajtuk. A levelezést az Exchange 
kiszolgálóval oldották meg. 

A telepítés alapjául szolgáló számítógép egy 
Dell GX110-es modell, amely az alábbi esz- 
közöket tartalmazta (csak a jellemzőbbek): 


Intel(r) S2801AALPC alaplap, 
e . SoundMAX alaplapra épített hangkártya, 
e — Pentium III 800 MHZ-es processzor 
256 MB memóriával, 20 GB-os 
Ouantum merevlemezzel, 
e Sony CD-újraíró. 


Elöljáróban elárulnom, hogy a leírás a 
Mandrake 8.0 beállításaihoz íródott, ám 
írásunk közvetlen megjelenése előtt meg- 
érkezett a Mandrake 8.1-es változata. Ez 
azonban annyi új eszközt tartalmaz, hogy 
ilyen gyorsan nem tudtuk kitapasztalni, mi 
mennyire állja meg a helyét az új változatban. Elődeivel ellen- 
tétben a Mandrake 8.1 a Hálózatról három CD-t enged letöl- 
teni. Az első lemez az alaprendszert, illetve a beállításhoz szük- 
séges eszközöket tartalmazza; a második korong a szabad, 
bárki által felhasználható programokat foglalja magába; a har- 
madik CD pedig a saját fejlesztéseket, illetve a GPL-től eltérő 
felhasználási szerződésű programokat (ezek közül számos 
ingyenesen használható fel) rejti. A három lemez alapján azt 
gondolhatnánk, hogy a telepített rendszer mérete is ennek 


megfelelően fog növekedni - szerencsére ez nem következett be. 


A hálózat felderítése 

Miután a három Mandrake 8.1-es alap CD-t beszereztük, 
legelső lépésként gyűjtsünk adatokat a számítógépünkről 
(ellenőrizzük, hogy Linux-változatunk támogatja-e a benne 
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lévő eszközöket), 
illetve a hálózati 
környezetről, hiszen 
az új rendszerben 
szükségünk lesz a 
kiépítés ismeretére. 
Gépünk felderítésére 
alkalmas lehet a 
windowsos Sajátgép 
eszközkezelője is, itt 
számítógépünk 
alkatrészeiről nagy- 
jából pontos adatokat kaphatunk. Szerencsés helyzetben vol- 
tam, hiszen e gép elődjére már telepítettem a Mandrake 7.2-es 
és 8.0-s változatát, és akkor nem jelentett gondot beállításuk. 





Általában elmond- 
ható, hogy a Linu- 
xot is mindenki 
olyan gépekre tele- 
píti előszeretettel, 
amelyeknek eszkö- 
zeit már gyárilag 
összehangolták, és 
ennek köszönhető- 
en kicsi az esélye, 
hogy a felhasznált 
eszközök hibája 
vagy összeférhetet- 
lensége (például 
ugyanazt a meg- 
szakítást szeretnék 
használni) miatt 

a telepítés 
meghiúsul. 

A második igen 
fontos lépés a 
hálózat felderítése. 
Mindenki maga 
döntse el, hogy 
sajnálatos-e vagy 
sem, de a Mand- 
rake 8.1 már ren- 
delkezik hálózatfel- 
derítő eszközökkel, 
amelyek lehetővé 
teszik a hálózat 
elemeinek felisme- 
rését, és még a 
kezdő felhasználók 
számára is gyorssá 
és könnyűvé teszik 
a hálózatbeállítást. 
Ennek ellenére 
célszerű minél több 
adatot összegyűj- 
tenünk a hálózat- 
ról. Az egyik lehetőség a hálózat rendszergazdájának 
megkérdezése, ami azonban számos esetben megoldhatatlan, 
hiszen nálunk például a hálózat mérete miatt meglehetősen 
elfoglaltak, illetve korántsem biztos, hogy repesnének az 
örömtől, ha azt hallanák, hogy egy másik operációs rendszert 
is telepíteni szeretnénk a hálózatukban. Ez részben érthető, 
hiszen a háta mögött folyó , partizánakciókért" senki sem 
rajong, számomra viszont érthetetlen, hogy sok cégnél miért 
félnek az olyan újdonságtól, amely bizonyítottan minőségi 
javulást eredményez majd a munkájukban. 

A hálózat felderítéséhez a Windows 98-ban is megtalálható 
netstat és net programok szolgáltatásait használtam. 

A net parancs segítségével gépünk hálózati beállításainak 
nézhetünk utána, ehhez használjuk a net config parancsot. 


Tt 
ej mezes ús.8-a ön: Ész 


met: söeég ff etzáegéeni er et gő 


dt Eltt a dztsá E 
ki : ; 





Computer name Yisajat gep 


User name TOIHB 
Workgroup HUN 
Workstation root directory C : (WINDOWS 
Software version 4.10.1998 
Redirector version 4.00 


The command was completed successfíully. 
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A kiadott parancs eredményeként tulajdonképpen csak a gép 
windowsos nevét, valamint a munkacsoport nevét tudjuk 
felhasználni. 

A másik utasítás a netstat, amely a hálózatunkról szolgáltat 
adatokat. A parancs eredménye az alábbi: 


Active Connections 
Proto Local Address Foreign Address 


State 

TCP bela:1138 kzsa.1.ge.com:nbsession 
ESTABLISHED 

TCP bela:1156 hun.1.ge. com: smtp 


5 TIME WAIT 


Ha az utasítást a -a kapcsolóval alkalmazzuk, a hálózat többi 
gépéről is adatokat nyerhetünk. Náluk a hálózat viszonylag 
nagy mérete miatt ez a parancs sajnos nem működött. Ha rész- 
letesebb adatokat szeretnénk kapni, például a netstat -r 
parancssort használhatjuk. 


Active Routes: 


Network Destination Netmask Gateway 
s Tnterface Metric 
127.0.0.0 255 ,050.0 127.0.0.1 


STT 001 1 
3.30.235.173 255.255.248.0 ... 
A hálózat beállításait még a My Network ... segítségével is 
célszerű megvizsgálni, hátha további adatokhoz juthatunk, 
például a DHCF-, illetve DNS-kiszolgálóról. 


A Linux telepítése 

A számítógép újraindítása után az első telepítő CD indításával 
belevághatunk a telepítésbe. A telepítőablak felépítése a 
bejelentkező képernyőtől eltekintve a 8.0-s változatéhoz képest 
szinte alig változott. A rendszer két telepítési módot kínál: a 
Recommended-et a kezdő felhasználók számára, és az Expert-et, 
mely a haladó felhasználók számára ajánlott. A kezdő módot 
választottam, hiszen arra voltam igazán kíváncsi, milyen új 
segítséget kapnak a kezdők. A telepítő nagyon kevés beállítást 
kért a telepítés során, például nyelvi beállításokat, a telepítendő 
eszközök nevét, monitortípust (nem túl szerencsés, hogy a 
telepítő a monitorbeállításnál nem próbálta ki a beállításokat). 
A telepítési folyamat közben igyekeztem a hálózatot is beállítani, 
amihez a DHCP-kiszolgáló használata következtében csak a 


1. kép KCron az időzített alkalmazásindítás beállításához 
2. kép A kwuftpd az FIP-szolgáltatás grafikus beállítóeszköze 
3. kép A rendszer- és felhasználói menük testreszabását együttesen 
a MenubDrake-ben lehet elvégezni 
4. kép A lLinuxconf hálózatbeállítási része 
5. kép A 8.1-es Mandrake egyik újdonsága a hálózati eszközök 
beállítását teszi elvégezhetővé 
6. kép A Mandrake 7.2 hagyományainak megfelelően, az RomDrake 
biztosítja a könnyű csomagkezelést 
7. kép A Swat minden Linux-változatban elérhető grafikus 
beállítóeszköz a Sambához 
8. kép Minden befűzött adattároló eszközt egy helyen állíthatunk be 
9. kép A felhasználói jogok egyik grafikus eszköze a Mandrake-ben 
a UserDrake 
10. kép A WizDrake a Mandrake 8.1 egyik újdonsága: a hálózatbeállító 
eszközök grafikus felületen, egy helyen érhetők el 
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gépnév helyes kiválasztása szükséges. Figyelembe kell vennünk, 
hogy a teljes gépnév szükséges, például: tesztgep.linux.net. 
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Ezekután a telepítő újraindította a gépet, és körülbelül húsz 
perccel a telepítés után már elérhető volt a hálózat! 


A telepítő a hálózat mellett 
hangkártyámat és CD-írómat is 
helyesen állította be. 
Érdekesség, hogy a régebbi 
változatokkal ellentétben a 
CD-írót eleve SCSI-eszközként 
kezelte. A telepítés során meg- 
adtam egy felhasználót, és azt 
is, hogy a rendszer elindulása 
után próbálja meg önműkö- 
dően beléptetni. Így a gép 
újraindulását követően a prog- 
ram magától beléptetett, ráa- 
dásul kellemes meglepetés ért, 
ugyanis a rendszer felajánlotta 
a grafikus felületnek és témá- 
jának kiválasztási lehetőségét, 
majd a KDE eszközei számára 
kérte a felhasználó adatait. 

Ezt követte a levelezőprogram 
beállítása — a Netscape-et 
választottam. Az előzőleg el- 
végzett X-beállításnak meg- 
felelően már grafikus felületen 
jelentkeztem be. 

A telepített rendszer mérete az 
összes játékkal, ablakkezelővel, 
szövegszerkesztővel, multimé- 
diás eszközzel együtt megköze- 
lítőleg mindössze 1300 MB lett. 
Linux-listákon többen olvas- 
hattuk, hogy a 8.0-s változat- 
ban a betűkészletekkel valami 
nagyon nincs rendben. A tele- 
pítés után magam is hasonlót 
tapasztaltam. A hibát tökéle- 
tesen kijavították a 8.1-es válto- 
zatban, ugyanis a betűk több- 
féle méretben is jól olvashatók 
maradtak, és az sem okozott 


Alaphálózat és Internet 


Előfordulhat, hogy valamiért nem sikerül azonnal beállítani a Sam- 
bát, e feladat megoldásához szeretnék most segítséget nyújtani. 
A DHCP ügyféloldali része nagyon rosszul dokumentált, ezért 
eléggé sokáig kellett próbálkoznom a 8.0-s hálózat beállításával 
(nem vagyok hálózati szakember). 

Ha valami gond lenne a grafikus beállítással, a 
/etc/dhcpd/dhcp.conf fájlt kell megkeresnünk és a következők 
szerint módosítanunk: a Samba működőképessé tételéhez gépün- 
ket állandó IP-címmel kell ellátni, illetve a gépeket tartalmazó 
beállítófájban is rögzítenünk kell. Szemléltetésül álljon itt egy példa: 
súbnet 3.30.232/0 netmask 255 255 248091 

H --- alaportelmezett XEtjEr -default gateway 
option subnet-mask 255.255.248.0; 

option domain-name "1.ge.com!" ; 

option domain-name-servers 3.30.232.11; 

H a góp nk beZXll tEsai, illetve a szEmunkra 
H fontos ggpek adatai: a gp neve: host lin 
( 

H a göp hEl zati kErtyEjkEnak IP-c me: 
hardware ethernet 00:BO:DO:9A:83:B7; 

H a hozzErendelt Elland  1IP-c m: 
fixed-address 192.168.1.2; 


] 
] 


Célszerű megemlíteni, hogy a dhcpd.conf fájl első négy hálózati 
címe megegyezik a Windows netstat -r parancsának 
eredményeként kapott lista második sorával. 

A kártya címét az ifconfig eth0o parancs második sora 
tartalmazza. Az itt megadott állandó IP-címet és a gépnevet fel kell 
tüntetni a host.conf fájlban is, valahogy Így: 

TSZEte Sz lez e bme See GON ET 

Ezekután a Samba elindult. A tapasztalataim alapján leszűrhető 
tanulság: a hagyományos parancssoros beállítás szinte minden 
esetben működőképes. 


Az alaphálózat és az Internet beállítása zajlott a legegysze- 
rűbben, hiszen minden szükséges eszköz rendelkezésre állt 
hozzá, valamint az összes beállítás ismert volt. 

A Mandrake három olyan esz- 


közt is tartalmaz, amelyek 

e beállítások elvégzését 
lehetővé teszik: a Linuxconf- 
ot, a WizDrake-et és a 
Mandrake Vezérlőpult-ot 
(Control Center). 

lalán kicsit furcsának tűnhet 

a beállítóeszközök ilyen mér- 
tékű részletezése, de koránt- 
sem biztos, hogy minden 
olyan gördülékenyen zajlik, 
mint esetünkben tette. 

A linuxconf elindítása után 
az alap hálózati beállításoknál 
a Host name and IP devices 
ablakban kell megadni a 

gép nevét (1lin.1.ge. com), 
és beállítani az első hálózati 
eszközt (4. kép). 

A beállítások mentéséhez az 
Enable gombbal engedélyezni 
kell az eszközt. Mivel tudjuk, 
hogy az IP-cím megadása 
DHCP útján történik, a Config 
mode-ban ezt választottam ki. 
A Netmask értékét a netstat 
-r parancs eredményeként 
kapott listában találjuk meg, 
az Active Routes rész második 
sora tartalmazza. Ha gépünk 
felismerte a hálózati kártyát, 

a következő sorokkal nem kell 
foglalkoznunk. E sorok közül 
a Net device (általában ez 
eth0) és a Kernel Module 
(esetünkben 3c509) mezőknek 
kell kitöltve lenniük. A DNS- 
beállításokkal ne foglalkoz- 
zunk, mivel a rendszer 


gondot, ha a nekem leginkább tetsző betűkészletet választot- 
tam ki. Ahhoz, hogy tökéletesen honosított KDE (KDE 2.2.1) 
felületet kapjunk, elegendő a nyelvi környezetet magyarra 
állítani, és a betűkészleteknél az IS0-8859-2-es kódolását kivá- 
lasztani. A telepítés során csupán elvétve találkoztam angol 
nyelvű kérdésekkel (talán csak az elején, a nyelvi környezet 
esetében). A KDE is magyarul beszélt és az alapbeállításoknál 
is csak néhány angol kérdés fordult elő. 


A Linux beállítása 

A hálózat beállítására és a felhasználók felvételére a Linuxconf 
eszközt szoktam használni. Most, hogy az új változat eszközeit 
akartam kipróbálni, mindig a Mandrake saját eszközkészletét 
alkalmaztam. A felhasználói jogok módosítására a Userdrake 
programot használtam. 

A hozzáértő felhasználók számára célszerű megfelelő 
jogosultságot adni a linuxconf használatára és a változások 
jóváhagyására, valamint a samba karbantartására is. E beállí- 
tásokat grafikus felületen a linuxconf-ból végezhetjük el. 
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a DHCP-kiszolgálóról önműködően beállítja őket. 
Ha mindent jól csináltunk, az ifconfig eth0 parancs 
eredményeként ilyesmit fogunk látni: 


[rootalin tothbi]H ifconfig eth0O0 

ethO0 Link encap:Ethernet 

HWaddr 00:BO:DO:9A:83:B7 

inet addr:3.30.235.173 Bcast:3.30.239.255 
Mask :255.255.248.0 


— itt még folytatódik a parancs kimenete, de számunkra a fenti 
két sor a lényeges. Ha a sorok tartalmazzák az inet addr és 

a Bcast értékeit, jó munkát végeztünk. 

A WizDrake hálózatbeállítóját nem próbáltam ki, csak a Vezér- 
lőközpont hálózatbeállítását, kíváncsiságból. Használatáról 
most nem írok, mert a varázsló minden beállítással kapcsolatos 
kérdést eléggé egyértelműen és magyar nyelven tesz fel. 

A következő lépés az internetelérés beállítása. Az átjáró meg- 
találásában a netstat parancs, illetve a Windows alatt 





található böngészők proxybeállításai segíthetnek, én az 
utóbbiakat használtam. 

Az Internet Explorer esetében nyissuk meg a Joo0ls menü 
Internet Options... menüpontját, és a megjelenő ablakban 

a Connections fül LAN settings menüpontját válasszuk ki. 

Az itt felbukkanó ablakban lévő Use proxy server beállítását kell 
feljegyeznünk. Ha a rész üres, a proxykiszolgálót a netstat 
szolgáltatásának vagy a rendszergazda segítségével találhatjuk 
meg. Közvetlen kapcsolódás esetén a linuxos böngésző szá- 
mára semmit nem kell beállítanunk. Jobban kedvelem, ha 
például a Netscape 6.1 a Windows böngésző eszköze. 
Tapasztalataim szerint Windows alatt a 6.1-es Netscape nagy- 
részt javította a 6.0-s változat hibáit. Tökéletesen kezeli az 
Explorerek számára készített weboldalak beállításait. Weblap- 
szerkesztője is meglehetősen egyszerű, segítségével gyorsan és 
megbízható módon készíthetünk weboldalakat. Az ily módon 
létrehozott weblap az esetek nagy részében ugyanúgy jelenik 


LP LP 


meg az MS Explorerben is. A levelezés az előző változatéhoz 
képest sokat javult. A 6.0-s változat levelezőjében olyan eset is 
előfordult, hogy a csatolt fájlokat nem tudta megnyitni, illetve 
a hozzájuk rendelt programokat nem kezelte. Esetenként a 
csatolt fájlok eltűntek vagy a saját könyvtárakban tárolt levelek 
a könyvtár indexhibája miatt elvesztek. lapasztalataim szerint 
ezeket a hibákat kijavították és ismét üzembiztosan, valamint 
jóval kisebb gépigénnyel működik, mint az Outlook változata. 
A beállításokhoz visszatérve: mi Exchange kiszolgálót haszná- 
lunk. A levelek letöltéséhez és kezeléséhez IMAP-os beállítást 
használok, melyeket Linux alá is át kell vinnünk. Általában az 
Exchange kiszolgálót futtató gépek is állandó IP-címmel rendel- 
keznek, így Linux alatt nem kell a gép ,megtalálásával" foglal- 
kozni. A kiszolgáló pontos nevére azonban szükségünk van. 
Ha elosztott Exchange kiszolgálóval rendelkezünk, vagyis több 
gép szolgálja ki a hálózatot, akkor ki kell próbálnunk, hogy 
Linux alól melyiket tudjuk igazán jól használni. A választás 
általában nem okoz gondot, hiszen ha az Outlook Eszközök 
menüjében a Karbantartás-t választjuk ki, az Exchange kiszol- 
gálóhoz tartozó részben meg fogjuk találni a kiszolgáló nevét. 
Gondot az okozhat, ha nem csak az itt látott kiszolgáló létezik, 
és emiatt a levelezéssel (főleg a levélküldésnél) valamilyen 
gondunk akad, ezért másik kiszolgálót szeretnénk beállítani. 
Ebben az esetben a következő megoldást javaslom: egy 
,kintről érkezett" levelet szöveges fájlként mentsünk, és a fájl 
fejlécét aszövegszerkesztőben nézzük meg. Ha minden igaz, 
az Outlook-beállításban már látott kiszolgálót itt is megtaláljuk, 
illetve a levél útját végigkövetve a belső levelezőkiszolgálók 
neveire is rábukkanhatunk. 

Levelező- és böngészőprogramként én a Netscape-et vagy 
Mozillát ajánlanám (ezeket alaposabban kipróbáltam). A KDE és 
a StarOffice (az utóbbi Windows alatt jól működött) böngésző- 
és levelezőeszközeit sajnos nem állt módomban próbára tenni. 
FIP-programkérnt a gF IP-t telepítettem, amit az átjáró címének 
és fajtájának ismeretében (HIIP-proxy) könnyen be tudtam 
állítani. Eközben arra kellett igazán figyelnem, hogy az Option 
menüben a HIIP-proxyt, illetve a levelezőprogramból már 
ismert proxynevet állítsam be (2. kép). 

A DHCTF-vel nyert IP-cím egyedi beállításokat igényel (hiszen 
szükségünk van a hálózati kártya saját címére). Ezt a feladatot 
a WizDrake, a Samba beállítóeszköze látja el. Ezekután a Samba- 
szolgáltatást a Swat segítségével be tudjuk állítani. Fontos az 
engedélyezett gépek beállításnál szereplő értékeire figyelni, ha 
ugyanis szűk hálózatot jelölünk ki egy több IP-tartományban 
dolgozó belső hálózat esetében, ezzel akaratlanul is meglehe- 
tősen korlátozhatjuk az eszközeinket használni kívánók körét. 
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A Mandrake Vezérlőult/Hardver/Csatlakoztatási pont ablakán 
keresztül ugyancsak grafikusan kapcsolódhatunk más 
megosztásokhoz. 

A csatlakoztatási ponthoz azonban nem tudtam jelszót és fel- 
használónevet megadni, továbbá a csatlakoztatott megosztások 
leválasztása sem működött tökéletesen. 

A hálózat beállítása a Mandrake 8.1 szerves részét képező 
Webadmin segítségével szintén pofonegyszerű feladat. 
lovábbra is gondot jelentett, ha nem tudtam fejből a célgép 
pontos címét, ilyenkor a hálózat átvizsgálása 10-15 percig is 
eltartott. 

A magyar karakterek helyesen jelentek meg, egyedül az 

ő betűvel küszködtem. Az angol Windows 9x-es ügyfélhez 
hasonló módon a magyar karaktereket tartalmazó fájlokat 

itt sem sikerült átmásolnom (ez inkább a Windows hibája, 
ráadásul még a 2000-es változatban sem javították ki). 

A Mandrake Vezérlőpult-jának használatával próbálkoztam 

a nyomtatókiszolgálóhoz kapcsolódni, de ez az eszköz sajnos 
szintén állandó IP-című nyomtatókiszolgálóhoz (amelyet 
egyébként villámgyorsan be tudtam állítani) készült, és nincs 
grafikus lehetőség arra, hogy egy ilyen típusú hálózatban 

a Win95-ös ügyfélhez csatolt nyomtatót távolról gyorsan 
működésre bírjuk. 


Összegzés 
Kellemes tapasztalatokat szereztem a Mandrake 8.1-es változat- 
tal, hiszen ebben a környezetben hozzá nem értő módjára is 
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gyorsan be tudtam állítani a linuxos ügyfelet. Az előző válto- 
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2 http:/Avww.linux-mandrake.com/en/ 


zathoz képest számos hibát kijavítottak, és a szükséges enged- 
ményekkel együtt is megmaradt a linuxos testreszabhatóság. 
Remélhetően a Linux eddigi fejlődését ismerve hamarosan 
további olyan eszközöket sikerül létrehozni, amelyek biztosít- 
ják az ilyen és ehhez hasonló környezetben történő teljes körű 
Linux-használatot. 


lóth Béla (tothb1ofreemail.hu) 

Nős, két gyermek büszke atyja. Dolgozott föld- 
mérőként, majd térinformatikus szakmérnöki 
képesítést szerzett. Egyaránt otthonosan mo- 
zog a CAD és a térinformatikai programokban, 
I valamint a DOS- és Windows-alkalmazásokban. 
Legkedveltebb elfoglaltsága már két és fél éve a Linux. 
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Brochettes de Sécurité 


Marcel bemutatja, hogyan állíthatunk vissza törölt állományokat, miként rejthetjük el 
titkos adatainkat, illetve hogyan készíthetünk róluk biztonsági másolatokat. 


Á, Francois! Gyere, ezt nézd meg! Eszmefuttatá- 
som tárgya a biztonság, és sikerült is összeállíta- 
nom a témáról egy étlapot. Ouoi? lermészetesen 
nem a hálózatokról van szó. Iudod, mon ami, 
egy étterem sikeres vezetéséhez mi a legfonto- 
sabb? Bien sur, egy gazdagon felszerelt boros- 
pince nagyon fontos, ebben egyetértünk, de 
most az ételre gondoltam. ludod, a vendégeink 
sok mindenre éhesek és a mi kötelességünk, 
hogy olyan ízekkel kápráztassuk el folyamatosan 
az ínyüket, amilyenekre nem számítottak. 
Ouest-ce gue tu dis? Francois, a biztonság a Linuxszal való 
főzőcskézés igen sokoldalú kérdése. A hálózati biztonság is egy 
ilyen kérdés, s nyilván mindenkinek ez jut először az eszébe. 
Ahhoz azonban, hogy az ízlésünk friss és éber maradjon, érde- 
mes egy kicsit válogatni a hozzávalók között. Nézd meg pél- 
dául az első fogást! Nem tagadhatod le, hogy köze van a biz- 
tonsághoz, továbbá -— Francois, miért nem figyelsz? Hogyan? 
Á, mais pardon, megérkeztek a vendégeink. Kérek mindenkit, 
foglaljon helyet! Francois azonnal hoz egy kis bort nekünk! 
Akad még a pincében egy 1998-as Clos de Vougeot, mely azt 
hiszem, ez mindenki ízlésének megfelel, és különleges légkört 
teremt. Egy finom Burgundy, mes amis. Vite, Francois, vite! 
Francois-val éppen a biztonság kérdésének különböző néző- 
pontokból történő megközelítéséről beszélgettünk. Amikor 
Linuxszal főzünk, a , biztonság" fogalmát emlegetve mindnyá- 
jan a hálózati biztonságra gondolunk, pedig a szó monsieur 
Roget híres fogalomtára szerint számos egyéb dolgot is jelent- 
het. Olyan szavakat lelhetünk fel benne, mint kötvény, letét, 
adóslevél, óvadék, kezes, hitelesítés, nyugta, hogy csak néhá- 
nyat említsünk közülük. És mi a helyzet azzal a biztonsággal, 
amit rendszeresen végzett biztonsági mentésként ismerünk? 
Önök minden bizonnyal gyakran készítenek biztonsági máso- 
latokat, ily módon épségben tudhatják a munkájukat, és ezt 

a fajta biztonságot a rendszeresen végzett adatmentés nyújtja. 
De még ebben az esetben is előfordulhat, hogy elvész egy állo- 
mány. Mi a helyzet akkor, ha az utolsó biztonsági mentés 
tegnap este vagy akár két órával ezelőtt történt? Jó szokásunk 
és a biztonságos munkához való egészséges vonzódásunk 
ellenére mégis elvesztettük az állományunkat. Mit tehetünk 
ebben a helyzetben? Már hallom a hétköznapi bölcsességet: 

ha egyszer letöröltünk egy állományt Linux-rendszerünkben, 
annak vége, örökre elveszett. Ez azonban nem teljesen van így, 
lehet még esélyünk a megmentésére. 

lesztrendszeremen egy kis meghajtó van csatlakoztatva a 
/mnt/tinydrive útvonalon. A df /mnt/tinydrive parancsra 
az alábbiak jelennek meg: 
/dev/hdd6 42913 9063 
/mnt/tinydrive 
Mondtam, hogy kicsi, igaz? Létrehoztam néhány könyvtárat és 
állományt ezen a meghajtón. Az egyik állomány neve cabernet 
és a családom Cabernett-titkait tartalmazza Az állományt kilis- 
tázva ezt kapom eredményül: 


31634 225 
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S ls -1 
-rwus-tseres 
caberriet 
77 bájt mint látjuk a titkok mindig elegánsak. Ha most az rm 
cabernet paranccsal az állományt, eltűnik, és nem tudjuk 
olvasni. Ennek ellenére egy kis kitartással és szerencsével 
visszaállíthatjuk, ahogy mindjárt be is mutatom. Fontos, hogy 
a kérdéses meghajtót azonnal leválasszuk, vagy kapcsoljuk ki 
a gépet, ha a gyökérkönyvtárról van szó: 
unmount /mnt/tinydrive 
Minél több idő telik el ugyanis az állomány törlésétől kezdve 
(következésképp minél több adat íródik a lemezre), annál kisebb 
az esélyünk arra, hogy az állományt maradéktalanul sikerül 
visszaállítani. A mentési kísérlethez a Debugfs nevű programot 
használom. Csak semmi fejetlenség, mes amis, minden rend- 
szeren megtalálható ez a parancs az elfsprogs csomag részeként: 
t debugís /dev/hdd6 
debugfs 1.14, 9-Jan-1999 for EXI2 FS 0.5b, 
95/08/09 
debugfs: 
Ha a debugfís parancssorába beírom, hogy 1sde1, egy listát 
kapok, amely valahogy így néz ki: 
1665 0 100644 5248 6 / 
18:05:30 2001 

32 500 100600 12288 


1 marcel wines 77 Jun 21 04:38 


6 Ihu Apr 19 


127 12 Thu Jún 21 


04:38:39 2001 

158 500 100644 78 17 1 Thú min. 21 
04:38:39 2001 

157 500 100644 77 17 1 Thú dún..21 
04:40:25 2001 


Az első oszlop a fájlleíró (inode). A második oszlopban az 
állomány tulajdonosának azonosítója található (UID). Mivel 
az én azonosítóm 500 és a véletlen törlés 21-én, szerdán követ- 
kezett be, úgy tűnik, hogy a keresett állomány a felsoroltak 
valamelyike. lovábbá arra is emlékszem, hogy a fájl 77 bájt 
hosszúságú volt. Mivel fájlnevek nincsenek a listán, minél több 
adat áll rendelkezésre az eredeti állományról, annál könnyebb 
a dolgunk. Még mindig a debugfs parancssoránál maradva, 
beírom a következő sort: 

debugífís: dump -c15735 /home/marcel/cabs 

A 157-es szám a fájlleíró, a /home/marcel/cabs pedig egy állo- 
mány egy másik, már csatlakoztatott fájlrendszerben. A dump 
parancsot használva a debugfs-ben a 157-es fájlleírójú állo- 
mány tartalmát átirányíthatom egy új, cabs nevű állományba. 
Nézzük a művelet eredményét: 

S cat /home/marcel/cabs 

Miort is pr bElkoznEnk j Cabernet 

eliXll tX£EsZval, amikor meg is vEsZgZrolhatjuk 
Henri"s Fine Wines  zletőben? 

Mais nor! A titok felfedve! 

Egy másik eszköz, ami hasznosnak bizonyulhat törölt 
állományok visszaállításánál, Tom Pycke Recover nevű progra- 
mocskája. A Recover a törölt állományok akár hihetetlenül 





nagyra duzzadó listájával való munkát könnyíti meg, sőt, 
szinte fájdalommentessé teszi. Töltsd le a legfrissebb forrás- 
állományt, a (2 http:/recover.sourceforge.net/linux/recover) 
csomagold ki és fordítsd le: 

tar -xzví recover-1.3.tar.gz 

cd. TecöVver:1.3 

make 

make install 

A program a recover parancs begépelésével indul, ezután 

a rendszeren elérhető különböző fájlrendszereket keresi meg, 
illetve a megfelelő fájlrendszer parancssorban történő megadá- 
sával is indítható. Ezt egy kérdés-felelet rész követi, amellyel 
a törölt állományok hatalmas listáját szűkíthetjük kezelhető 
méretűre. Egy példa: 

H recover /dev/hdd6 

Recover v1.3 by Tom Pycke 

cTom. Pyckegadvalvas.bes:z 


(this can take some time) ... 
9-Jan-1999 for EXI2 FS 0.5b, 


Getting inodes 
debugfís 1.14, 
95/08/09 


In what year did you delete the file? 
1999) : 2001 

Ezután a program megkérdezi a hónapot, amelyet a keltezés- 
és időtartam, valamint az állomány lehetséges méretének alsó 
és felső határa követ. A következő kimenetet kaptam: 

-5 158 78 JUN IHU 21 4:38:39 2001 

-5 157 77 JUN IHU 21 4:40:25 2001 

2 inodes found. Where shall i dump them? 
(directory): — /tmp 

A kapott állományok a dump157 és dump158 névre hallgatnak. 
Ezután nincs más teendőnk, mind a cat-tel megvizsgálni a tar- 
talmukat. Gondolva rá, hogy esetleg futtatható állományokról 


(eg. 


van szó, érdemes lehet a file paranccsal ezt előtte megvizsgálni. 


Mint jól tudjuk (és ahogyan monsieur Roget is rájött), a bizton- 
ságnak más nézőpontja is létezik. Megnyugtat a tudat, hogy bár- 
mikor vissza tudunk állítani egy véletlenül törölt állományt az 
ext2fs fájlrendszerünkben, de mi a helyzet az ellenkező oldalról 
nézve a dolgot, ha például az állomány tartalma szigorúan titkos, 
és nem akarjuk, hogy az életben még egyszer valaki belepillant- 
hasson? Ha az állományt inkább valami nagyon sötét, a szőlőmű- 
velésre teljesen alkalmatlan vidékre szeretném száműzni? 
Amennyiben rendszereden megtalálható a fileutils csomag 
legújabb kiadása (olyan programokkal, mint a cp, mv stb.), 
máris kéznél van a megoldás. Ebben található a shred nevű 
program, amely olvashatatlanná szabdalja az állományt: 

" shred. secret inetrúüctioris 

Ebben a formában kiadva a parancsot a 

secret instructions állomány tartalma valóban titokban 
marad, maga az állomány azonban nem törlődik, csak össze- 
keveredik, mint a jól felvert tojáshab. Igazi biztonságérzet 
azonban inkább a parancs alábbi formájával érhető el: 

5, shred -zZ -ü Secret instructions 

Ennek hatására a program nullákkal írja felül az állományt 

(a -z kapcsoló hatása), majd törli (-u). Titkainkat ezennel 
biztonságba helyeztük. 

Konyhai felfedező utunkat ma néhány könnyű, a biztonsági 
mentéssel kapcsolatos javaslattal kezdtük. Tételezzük fel, hogy 
adatainkat rendszeres időközönként szalagra mentjük amelye- 
ket azután más, biztonságos helyre szállítunk. Így azokat 

a titkos állományokat is tároljuk, amelyeket oly elszántan 
igyekszünk a rendszerünkről eltávolítani. legyük fel, hogy 
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a tar paranccsal elmentettem az /etc/profile állományt: 

tar -cevf /tmp/profile.tar /etc/profile 

Egy ily módon előálló állomány meglehetősen nyílt: 

S more /tmp/profile.tar 

etc/profile01006440000000000000000000001163072 

353262310117170 

ustar  rootroot 

t /etc/profile 

Amint látható, a tárállományban lévő fájlok tartalma könnye- 

dén olvasható. lermészetesen tudom, hogy az állományokat 

egy pofonegyszerű 

tar -xvÍ filename.tar 

paranccsal egyszerűen ki is csomagolhatnám, de most mást 

szeretnék megmutatni. Mi lenne, ha kódolnánk az tárállo- 

mányt? Éppen ez a gondolat hívta életre Brian Wagener és 

Katrina Illari Sectar nevű programját, amely a GNU tar biz- 

tonsági kiterjesztése. Könnyen hozzájuthatunk a 

2 sourceforge.net/projects/star címről. 

Két csomagra lesz szükségünk: az első a GNU tar javított 

változata, a második maga a sectar. A csomag kibontásával 

és fordításával kell kezdenünk: 

tár -xzvi tár sectar. tar.gz 

cd. tár-1.13 

make 

make install 

Ez majdnem megegyezik az eredeti tar-csomaggal, amely 

a rendszerünkön található, kivéve egy nagyon fontos beállítási 

lehetőséget. Ha kiadjuk a 

/usr/1local/bin/tar -help 

parancsot, az alábbi sort is láthatjuk: 

-e, --encrypt filter the archive through 
encryptor 

E tulajdonság használatához azonban a sectar csomag lefor- 

dítása is szükséges. A legújabb forrást használva az alábbi 

lépéseket követtem: 

tar -xzvi sectár-1.02.tarv.dz 

ee. sedtar-1.02 

make 

make install 

Ezt a most felfedezett titkosítási lehetőséget kihasználva újra 

előállítom szigorúan titkos tárállományomat: 

S tar -ecvfí /tmp/profile.tar /etc/profile 

The 256 bit key created is keyfile.993515072 

Most ezt a kulcsállományt (amely a munkakönyvtáramban 

található) lemezre vagy egyéb biztonságos helyre másolom 

addig az időpontig, amikor majd vissza kell állítanom az 

állományt. Ha a kulcsállomány rendelkezésre áll, az adatok 

tar-állományból való kicsomagolása gyerekjáték, hiányában 

viszont az adatok titkosak maradnak. Ha a kulcsállomány 

nélkül nézzük át az állományt, zavarosnak, olvashatatlannak 

és nyomtathatatlannak találjuk. 

Örömömmel láttunk vendégül benneteket, a következő alkalom- 

mal se felejtsetek el csatlakozni hozzánk! A votre santé! Bon apétit! 


Marcel Gagné (mggagneCsalmar.com) 
Mississaugaban (Ontario, Kanada) él, a 

Salmar Consulting Inc. rendszerépítéssel és 
hálózati tanácsadással foglalkozó cég elnöke. 

A Világhálón elérhető honlapján sok hasznos 
dolog 3 http:/Avww.salmar.com/marcel/ lelhető. 
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Nicrolite BackupEDGE 01.01.08-as kiadás 


Microlite BackupEDGE nevű 
terméke kiváló, biztonsági 
másolatot készítő program, 
amely könnyen kezelhető parancssoros, 
illetve menüs felülettel rendelkezik. 
Hálózaton keresztül is készíthetünk vele 
biztonsági másolatot, a rendszer leállása 
esetén pedig a segítségével visszaállít- 
hatjuk az eredeti állapotot. Leírása teljes 
és részletes. A BackupPEDGE versenyké- 
pes árú szabadalmaztatott termék, mely 
a Linux rendelkezésre álló segédprog- 
ramjait használja, például az RSH-t, 

az SSH-t és a crontabot, ezáltal jobban 
együttműködik más alkalmazásokkal. 





Telepítés 

A BackupEDGE CD-n jelenik meg, de 
ha a számítógépünk nem rendelkezik 
CD-olvasóval, egy másik gépen a CD- 
ről telepítőlemezeket készíthetünk, akár 
Windows alatt is. FIP segítségével hat- 
vannapos próbaváltozatot tölthetünk le, 
és ha úgy döntünk, hogy tovább szeret- 
nénk használni, ezért megvásároljuk 

a BackupEDGE-t, a Microlite elküldi 

a megfelelő kulcsot 

— és a program teljes 
értékűvé válik. 

A telepítő könnyen 
használható, a prog- 
ramhoz hasonlóan 
parancssoros. A kur- 
zort nyilakkal moz- 
gathatjuk, amire 
azonban a tabulátor 
nem mindig , hajlan- 
dó", és ez kissé Za- 
varó. Szimpatikus 
viszont, hogy szöve- 
ges üzemmódban 

a számítógép INSERT 
billentyűjével válto- 
gathatunk beillesztés 
és felülírás között 

— ezt használtam, 
amikor a meghajtó 
fajtáját a neve elé 
írtam. A súgó már 

a telepítésnél is 
rendelkezésre áll. 

A telepítő felismeri, 
hogy milyen meghaj- 
tók vannak a gépben; 
az én két SCSI-szala- 
gos meghajtómat 


Előnyök 
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valószínűleg a /proc állományrendszer 
segítségével azonosította be. A telepítő 
azt is képes eldönteni, hogy a szalagos 
meghajtó tud-e gyorskeresést végezni, 
és ezt milyen megbízhatóan teszi. 

A gyorskeresés többek között kis számú 
fájl egyidejű visszaállítására használatos. 
Az általam Linuxon látott telepítők közül 
ez ismeri fel a legjobban a meghajtókat. 
lelepítéskor egy háttéralkalmazás fut, 
amely a , ritka" fájlokat ellenőrzi (egy 
,ritka" fájl lyukakat tartalmaz: nulla- 
bájtok sorozatát, amelyek nem fog- 
lalnak fizikai lemezblokkokat -— a Micro- 
lite ezeket , látszólagos fájloknak" 
nevezi). A , ritka" fájlok helyes keze- 
lésével visszaállításkor temérdek tárhe- 
lyet szabadíthatunk fel, viszont az ilyen 
fájlokat tartalmazó rendszerek rossz 
kezelése következtében a biztonsági 
másolatot készítő alkalmazások hasz- 
nálhatatlanok lehetnek. Mindkét számí- 
tógépen, amelyet használtam, a kereső- 
program sajnos megállt, és csak a hiba- 
üzenet számát volt hajlandó közölni. 

A BackupEDGE támogatja a nyers tár- 
területeket is, ami az adatbázis-kiszol- 
gálók számára igen hasznos. A telepítő 
egy ikont helyezett el KDE-asztalomon, 
az ezáltala hívott parancssor apró módo- 
sításaival beállíthatjuk a betűméretet, ami 
fontos lehet a régi linuxosok számára. 


A program 

Telepítés után parancssorból indítottam 
az edgemenu nevű programot. A szín- 
világ: a kék háttér szürke karaktereivel 
leginkább a régi DOS-os időkre emlé- 
keztet. Kétféle színösszeállítás közül 
választhatunk: világoskék-szürke vagy 
fekete-fehér. Az edgemenu néha kilépés 
után is otthagyja színeit mind a KDE- 
ben, mind az xtermben. Nem nagy ügy, 
elviselem, ha a program üzembiztos. 

A program csak parancssorosan is mű- 
ködtethető, a man edge parancs minden 
lehetőséget listáz. Mivel a konzolos 
menüprogram felületet ad a parancsso- 
ros programnak, megfigyelhetjük, ho- 
gyan működnek a különböző parancsok. 
Egyszerűen tudunk önműködő menté- 
seket időzíteni. Az alkalmazás a rendszer- 
gazda crontab könyvtárába menti a biz- 
tonsági másolatokat, így könnyen változ- 
tathatunk a másolatokon, megkönnyítve 
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más időzített alkalmazások használatát. 





Biztonsági másolat készítése 

Először egy kisebb, 9 MB-os adatmeny- 
nyiségről készítettem biztonsági máso- 
latot: a /etc könyvtárról. Az első pró- 
bálkozás nem volt sikeres, gyanítom, 

a ,ritka" fájlok háttérben folyó keresése 
akadályozta meg az SCSI adapteren. 
Újraindítás után mindenesetre már 
mindkét szalagos meghajtóra képes 
voltam másolatot készíteni. 

A gépet újra kellett indítanom, ugyanis 
két gépet használtam, hogy kipróbál- 
hassam a hálózaton keresztüli másolat 
készítését (a Microlite , távoli másolat- 
készítésnek" nevezi). Mivel az SSH 
már működött a két gép között, 

a BackupEDG6E-et beállítottam, hogy 
ezt használja - ezáltal jelszó nélkül is 
biztonságos kapcsolat létesíthető. Beál- 
lítottam az ügyféloldalt, azonban a 
kiszolgáló leállt. Hoppá! Újraindítottam 
a kiszolgálót, majd másolatot készíthet- 
tem rajta, ekkor viszont az ügyfél visel- 
kedett az előbbi módon. Másodjára 
legalább a kiszolgáló nem fagyott le, ami 
már haladás. 

Ez a fajta másolatkészítés bármely két 
gép között működik. Menet közben 
sokat kell várni, úgy tűnik, az RSH- 
vagy az SSH-kapcsolat nem folyamatos. 


Ellenőrzés 

A másolatot összevethetjük az eredeti- 
vel, vagy ha már módosult, használhat- 
juk a CRC-ellenőrzőösszeget. Ez arra 

is alkalmas, hogy az olcsóbb szalagos 
meghajtók, mind például néhány OIC- 
termék fejállását is ellenőrizzük. Nagyon 
jó, hogy az ellenőrzés a biztonsági 
mentés folyamatának részeként is 
végrehajtható. 


Az eredeti állapot visszaállítása 

A visszaállítási folyamat az edgemenu 
programból könnyen végrehajtható, és 
ezt mindhárom felületen megtehetjük. 
Grafikus felületen az edgemenuból 





indítható edge.emx-et használhatjuk, ami 
a fájlok egyenkénti visszaállítására szol- 
gál. A könyvtár kiválasztásával a benne 
található állományokat és jegyzékeket is 
kijelöljük. Egyszerűen válasszunk ki egy 
adatbázist és kattintsunk rá. A könyvtár 
faszerkezetén lefelé haladva kattintsunk 
minden állományra, amelyet ki szeret- 
nénk választani. Kattintsunk a Iransfer 
menüpontra, így a kijelölt adatok a 
restore ablakba kerülnek. A Restore 
menüpont kiválasztásával az adatokat 
eredeti állapotukba állítjuk vissza. 


Leírás 

A kézikönyv vastag, több mint 270 ol- 
dalas, szerencsére nagyméretű betűk- 
kel szedett, így könnyen olvasható. 
Hetven oldal a súgó másolata, míg 

a Linuxtól eltérő operációs rendszerek- 
nek néhány oldalt szenteltek. A követ- 
kező 130 oldalas rész a rendszerleállás 
utáni visszaállítást végző programmal 
foglalkozik. Minden fejezethez rész- 
letes tartalomjegyzék tartozik, bár 

a tárgymutató kissé hiányos: nem 
szerepel benne például a , ritka" fájl, 
tehát a felhasználónak tudnia , kell" , 
hogy a Microlite , látszólagos fájlnak" 
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nevezi őket. Mindent egybevetve 

a leírás teljes, igen részletes és olvas- 
mányos - a Microlite ezért ötös 
osztályzatot érdemel. 

A leírás arról is tájékoztat, hogyan lehet 
a BackupEDGE egyes lehetőségeit 
személyre szabni. A távoli másolatkészí- 
tés például RSH-t használ, de azt is 
részletesen leírják, mit kell tennünk, 
hogy SSH-t alkalmazza. 


Terméktámogatás 

A felhasználót levélben, telefonon, 
faxon és a weboldalukon keresztül is 
segítik. Nem található sajnos az összes 
felhasználó levélcímét tartalmazó lista, 
pedig ezáltal könnyen megoszthatnák 
egymással a tapasztalataikat. A kipró- 
bálás során ezt a szolgáltatást mind- 
össze egyszer kellett igénybe vennem, 
amikor az RSH helyett SSH-t szerettem 
volna használni, de nem sikerült műkö- 
désre bírnom. Valószínűleg csak azért 
alakult így, mert belefáradtam a hiba- 
keresésbe. A kapott tanács udvarias 
volt, de kissé felületesnek tűnt. Sűrű 
levélváltás után talán működött volna 
az SSH, de időközben elment a kedvem 
az egésztől. 


Rendszerleállás utáni visszaállítás 
Rendszerünket vészleállás után való- 
színűleg könnyen vissza lehet állítani 
a kapott RecoverEDGE programmal, 
ha sikerült beállítanunk. Azért írtam, 
hogy valószínűleg, mert egyszer sem 
próbáltam ki ezt a lehetőséget. A HP 
OBDR névre hallgató, rendszerindí- 
tásra is képes szalagos meghajtójával 
vagy akár hajlékony lemezekkel rend- 
szermásolatot tartalmazó szalagot ké- 
szíthetünk. Ha a gépünk leáll, indít- 
sunk a lemezről vagy a szalagos meg- 
hajtóról, és újból működni fog. 

Ha rendszerünket nagyobb merevle- 
mezre állítanánk vissza, a Recover- 
EDGE megváltoztatja a lemezrések 
méretét, hogy ne maradjon kihasz- 
nálatlan lemezterület. A RecoverEDGE 
használatával a rendszer-visszaállítás 
hálózaton keresztül is lehetséges. 


Charles Curley 

szabadúszó programtervezőként 
és újságíróként tevékenykedik 
Wyomingban, ahol időnként 
tehénpásztori feladatokat Is ellát 
(2 http://w3.trib.com/—ccurley). 


Nemsokára 1! évesek leszünk! 


Köszönjük minden olvasónknak a bizalmat, 
a türelmet és a lelkes biztatást! 
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